Harmony Mobile
整合版本:4.0
應用實例
- 執行實體擴充作業
- 擷取快訊
如何產生用戶端 ID 和用戶端密鑰
- 前往「Harmony Endpoint」部分
- 前往「全域設定」
- 前往「API 金鑰」部分
- 按下「新增」按鈕。
- 選取「Harmony Mobile」服務和「唯讀」角色
- 複製「用戶端 ID」和「用戶端密鑰」。將這些參數放入整合設定中。
在 Google Security Operations 上設定 Harmony Mobile 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://cloudinfra-gw.portal.checkpoint.com | 是 | Harmony Mobile 執行個體的 API 根目錄。 |
| 用戶端 ID | 字串 | 不適用 | 是 | Harmony Mobile 帳戶的用戶端 ID。 |
| 用戶端密鑰 | 密碼 | 不適用 | 是 | Harmony Mobile 帳戶的用戶端密鑰。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 啟用後,系統會驗證連線至 Harmony Mobile 伺服器的 SSL 憑證是否有效。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Harmony Mobile 的連線。
參數
不適用
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止劇本執行: 如果動作失敗,劇本執行作業應會停止: |
一般 |
充實實體
說明
使用 Harmony Mobile 的資訊擴充實體。支援的實體: 主機名稱。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 建立洞察資料 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會建立洞察資料,其中包含實體的所有擷取資訊。 |
執行時間
這項動作會在主機名稱實體上執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"client_version": "3.8.6.4637",
"device_type": "Android",
"email": "dana@example.com",
"internal_id": 1,
"last_connection": "Wed, 14 Jul 2021 05:26:09 +0000",
"mail_sent": true,
"mdm": null,
"model": "HUAWEI / HUAWEI GRA-L09",
"name": "Dana Doe",
"number": "+11",
"os_type": "Android_4_x",
"os_version": "6.0",
"risk": "No Risk",
"status": "Active"
}
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| client_version | 以 JSON 格式提供時 |
| device_type | 以 JSON 格式提供時 |
| 電子郵件 | 以 JSON 格式提供時 |
| last_connection | 以 JSON 格式提供時 |
| 模型 | 以 JSON 格式提供時 |
| 名稱 | 以 JSON 格式提供時 |
| 數字 | 以 JSON 格式提供時 |
| os_type | 以 JSON 格式提供時 |
| os_version | 以 JSON 格式提供時 |
| 風險 | 以 JSON 格式提供時 |
| 狀態 | 以 JSON 格式提供時 |
深入分析
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息 | 動作不應失敗或停止劇本執行: 如果其中一個沒有資料 (is_success=true):「Action wasn't able to enrich the following entities using information from Harmony Mobile: {entity.identifier}」。 如果所有實體都沒有資料 (is_success=false):系統不會擴充任何提供的實體。 動作應會失敗並停止執行劇本: |
一般 |
案件牆表格 |
標題:{entity.identifier} | 實體 |
連接器
Harmony Mobile - Alerts Connector
說明
從 Harmony Mobile 提取快訊相關資訊。注意:白名單篩選器適用於「alertEvent」參數。
在 Google SecOps 中設定 Harmony Mobile - Alerts Connector
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | alertType | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https://cloudinfra-gw.portal.checkpoint.com | 是 | Harmony Mobile 執行個體的 API 根目錄。 |
| 用戶端 ID | 字串 | 不適用 | 是 | Harmony Mobile 帳戶的用戶端 ID。 |
| 用戶端密鑰 | 密碼 | 不適用 | 是 | Harmony Mobile 帳戶的用戶端密鑰。 |
| 最低擷取風險 | 整數 | 否 | 用於擷取快訊的最低風險。可能的值:資訊、低、中、高。如未指定任何項目,連接器會擷取所有風險等級的快訊。 | |
| 可倒轉的小時數上限 | 整數 | 1 | 否 | 要擷取快訊的小時數。 |
| 要擷取的警告數上限 | 整數 | 100 | 否 | 每個連接器疊代要處理的快訊數量。預設值為 100。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將允許清單視為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 啟用後,系統會驗證連線至 Harmony Mobile 伺服器的 SSL 憑證是否有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。