ForeScout CounterACT

整合版本:3.0

應用實例

執行擴充動作。

在 Google Security Operations 中設定 ForeScout CounterACT 整合

如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。

整合參數

請使用下列參數設定整合:

參數顯示名稱 類型 預設值 是否為必要項目 說明
API 根層級 字串

https://<IP 位址>

 ForeScout CounterACT API 根層級
使用者名稱 字串 不適用 ForeScout CounterACT API 使用者名稱。
密碼 密碼 不適用 ForeScout CounterACT API 密碼。
CA 憑證檔案 字串 不適用 Base64 編碼的 CA 憑證檔案。
驗證 SSL 核取方塊 已勾選 如果啟用,系統會驗證連至 Armis 伺服器的連線 SSL 憑證是否有效。

動作

乒乓

說明

使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 ForeScout CounterACT 的連線。

參數

不適用

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果
指令碼結果名稱 價值選項
is_success is_success=False
is_success is_success=True
案件總覽
結果類型 值/說明 類型
輸出訊息*

動作不應失敗或停止劇本執行:
如果成功:「Successfully connected to the ForeScout CounterACT server with the provided connection parameters!」(已使用提供的連線參數成功連線至 ForeScout CounterACT 伺服器!)

動作應會失敗並停止執行應對手冊:
如果未成功:「Failed to connect to the ForeScout CounterACT server! Error is {0}".format(exception.stacktrace)

 一般

充實實體

說明

使用 ForeScout CounterACT 的資訊充實實體。支援的實體: IP、Mac 位址。

參數

參數顯示名稱 類型 預設值 是否為必要項目 說明
建立洞察資料 核取方塊 已勾選 如果啟用,動作會建立包含強化資訊的洞察資料。

執行時間

這項動作會對下列實體執行:

  • IP 位址
  • MAC 位址

動作執行結果

指令碼執行結果
指令碼結果名稱 價值選項
is_success is_success=False
is_success is_success=True
JSON 結果
{
        "ip": "172.30.202.30",
        "mac": "005056a2196c",
        "fields": {
            "channel": {
                "timestamp": 1623834301,
                "value": "eth1.-1"
            },
            "nmap_banner7": [
                {
                    "timestamp": 1623834430,
                    "value": "80/tcp Apache httpd 2.4.6 (CentOS)"
                },
                {
                    "timestamp": 1623834430,
                    "value": "22/tcp OpenSSH 7.4 protocol 2.0"
                }
            ],
            "onsite": {
                "timestamp": 1623834301,
                "value": "true"
            },
            "classification_source_os": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "linux_manage": {
                "timestamp": 1623838175,
                "value": "false"
            },
            "access_ip": {
                "timestamp": 1623838175,
                "value": "172.30.202.30"
            },
            "classification_source_vendor": {
                "timestamp": 1623838175,
                "value": "engine"
            },
            "mac_vendor_string": {
                "timestamp": 1623834302,
                "value": "VMWARE, INC."
            },
            "openports": [
                {
                    "timestamp": 1623834384,
                    "value": "22/TCP"
                },
                {
                    "timestamp": 1623834397,
                    "value": "161/UDP"
                },
                {
                    "timestamp": 1623834384,
                    "value": "80/TCP"
                }
            ]
        },
        "id": 2887698974
}
實體擴充
補充資料欄位名稱 邏輯 - 適用時機
ip 以 JSON 格式提供時
mac 以 JSON 格式提供時
站內 以 JSON 格式提供時
guest_corporate_state 以 JSON 格式提供時
指紋 以 JSON 格式提供時
vendor 以 JSON 格式提供時
將內容分類 以 JSON 格式提供時
agent_version 以 JSON 格式提供時
線上 以 JSON 格式提供時
案件總覽
結果類型 值/說明 類型
輸出訊息*

動作不應失敗或停止劇本執行:
if enriched some(is_success = true): "Successfully enriched the following entities using ForeScout CounterACT:\n".format(entity.identifier)

如果未擴充部分項目 (is_success = true):「Action wasn't able to enrich the following entities using ForeScout CounterACT:\n".format(entity.identifier)

如果並非所有實體都已擴充 (is_success = false):「沒有任何實體已擴充」。

動作應會失敗並停止執行劇本:
如果發生重大錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「Error executing action "Enrich Entities". 原因:{0}''.format(error.Stacktrace)

 一般
實體資料表 與擴充資料表中的資料欄相同,但不含前置字串。 實體

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。