ForeScout CounterACT
통합 버전: 2.0
사용 사례
보강 작업을 수행합니다.
Chronicle SOAR에서 ForeScout CounterACT 통합 구성
Chronicle SOAR에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참조하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | Description(설명) |
|---|---|---|---|---|
| API 루트 | 문자열 | https://<IP 주소> |
예 | ForeScout CounterACT API 루트입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | ForeScout CounterACT API 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | ForeScout CounterACT API 비밀번호입니다. |
| CA 인증서 파일 | 문자열 | 해당 사항 없음 | No | Base64로 인코딩된 CA 인증서 파일입니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 Armis 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
작업
핑
설명
Chronicle Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 ForeScout CounterACT에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 작업이 실패하고 플레이북 실행이 중지되어야 합니다. |
일반 |
항목 보강
설명
ForeScout CounterACT의 정보를 사용하여 항목을 보강합니다. 지원되는 항목: IP, Mac 주소.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | Description(설명) |
|---|---|---|---|---|
| 통계 만들기 | 체크박스 | 선택 | No | 사용 설정하면 작업에서 보강 정보가 포함된 통계를 만듭니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- Mac 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{
"ip": "172.30.202.30",
"mac": "005056a2196c",
"fields": {
"channel": {
"timestamp": 1623834301,
"value": "eth1.-1"
},
"nmap_banner7": [
{
"timestamp": 1623834430,
"value": "80/tcp Apache httpd 2.4.6 (CentOS)"
},
{
"timestamp": 1623834430,
"value": "22/tcp OpenSSH 7.4 protocol 2.0"
}
],
"onsite": {
"timestamp": 1623834301,
"value": "true"
},
"classification_source_os": {
"timestamp": 1623838175,
"value": "engine"
},
"linux_manage": {
"timestamp": 1623838175,
"value": "false"
},
"access_ip": {
"timestamp": 1623838175,
"value": "172.30.202.30"
},
"classification_source_vendor": {
"timestamp": 1623838175,
"value": "engine"
},
"mac_vendor_string": {
"timestamp": 1623834302,
"value": "VMWARE, INC."
},
"openports": [
{
"timestamp": 1623834384,
"value": "22/TCP"
},
{
"timestamp": 1623834397,
"value": "161/UDP"
},
{
"timestamp": 1623834384,
"value": "80/TCP"
}
]
},
"id": 2887698974
}
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| ip | JSON으로 제공되는 경우 |
| mac | JSON으로 제공되는 경우 |
| onsite | JSON으로 제공되는 경우 |
| guest_corporate_state | JSON으로 제공되는 경우 |
| 디지털 지문 | JSON으로 제공되는 경우 |
| vendor | JSON으로 제공되는 경우 |
| classification | JSON으로 제공되는 경우 |
| agent_version | JSON으로 제공되는 경우 |
| 온라인 | JSON으로 제공되는 경우 |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 일부 항목을 보강하지 않은 경우(is_success = true): "작업이 ForeScout CounterACT를 사용하여 다음 항목을 보강할 수 없었습니다.\n".format(entity.identifier) 모두 보강하지 않은 경우(is_success = false): '보강된 항목이 없습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. |
일반 |
| 항목 테이블 | 보강 테이블과 동일하지만 프리픽스가 없는 열입니다. | 항목 |