Illusive Networks
整合版本:3.0
產品用途
- 執行主動動作:執行鑑識掃描、擴充實體、新增/移除欺騙使用者/伺服器。
- 將事件擷取至 Simplify。
在 Google Security Operations 中設定 Illusive Networks 整合功能
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | http://x.x.x.x | 是 | Illusive Networks 執行個體的 API 根目錄。 |
| API 金鑰 | 密碼 | 不適用 | 是 | Illusive Networks 的 API 金鑰。 |
| CA 憑證檔案 | 字串 | 否 | Base64 編碼的 CA 憑證檔案。 | |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果啟用,請確認連線至 Illusive Networks 伺服器的 SSL 憑證是否有效。 |
如何產生 API 金鑰
- 前往 Illusive Networks 控制台的「設定」部分
- 在「一般」部分中,向下捲動至「API 金鑰」部分。
- 按下「新增金鑰」按鈕。
- 建議您為 API 金鑰新增所有權限。
- 從提供的字串中,複製「Basic」字串以外的所有內容。
- 將該值放入 Google SecOps 整合的「API 金鑰」參數。
如何更新速率限制
Illusive Networks 的特定端點設有速率限制。對連接器而言,限制必須夠高,才能擷取所有事件。如要更新速率限制,請登入管理伺服器並前往:C:\Program
Files\illusive-Management-Server-3.1.XXX.XXXX\conf\general.properties.txt
在檔案中,尋找下列屬性:
- api.incident.rate.limit.maximum.num.requests
- api.rate.limit.windows.duration.minutes
建議您採用下列設定:
- api.incident.rate.limit.maximum.num.requests=100
- api.rate.limit.windows.duration.minutes=1
- api.monitoring.rate.limit.maximum.num.requests = 100
- api.forensics.rate.limit.maximum.num.requests = 100
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Illusive Networks 的連線。
參數
不適用
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 如果成功:「Successfully connected to the Illusive Networks server with the provided connection parameters!」(已使用提供的連線參數成功連線至 Illusive Networks 伺服器!) 未成功:(失敗) - 無法連線至 Illusive Networks 伺服器!Error is {0}".format(exception.stacktrace) |
一般 |
充實實體
說明
使用 Illusive Networks 的資訊擴充實體。支援的實體: 主機名稱。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 不適用 |
執行時間
這項操作會在主機實體上執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"machineId": "00428a29-0343-4e13-aa97-3b624739c509",
"machineName": "HELLO",
"isHealthy": false,
"lastDeploymentMethodType": "WMI",
"distinguishedName": "CN=HELLO,CN=Computers,dc=iln,dc=local",
"groupName": null,
"sourceDiscoveryName": "iln.local",
"collectData": true,
"policyName": null,
"assignmentStatus": "ANALYSIS",
"operatingSystemType": "Windows",
"operatingSystemName": "Windows Server 2016 Standard Evaluation",
"operatingSystemVersion": "10.0 (14393)",
"agentVersion": null,
"bitness": null,
"loggedInUserName": null,
"lastLogonTime": 1613078764501,
"succeededDeceptionFamilies": 0,
"shouldBeUninstalledDeceptionFamilies": 0,
"desiredDeceptionFamilies": 0,
"deceptionFamiliesPercentages": null,
"lastExecutionType": "AGENT",
"machineLastExecutionPhaseType": "CONNECTION",
"machineLastExecutionPhaseStatus": "FAILURE",
"machineLastExecutionPhaseErrorMessage": "Unreachable - no ping",
"mitigationStatusType": null,
"machineExecutionUnifiedStatus": "FAILURE_CONNECTION",
"machineLastExecutionPhaseFinishDate": "2021-02-12T10:17:30.623Z",
"endpointTrapHealthCheckHostStatus": "NotTested",
"endpointTrapHealthCheckHostStatusLastUpdated": null,
"failedDeceptionFamilies": 0,
"inProgressDeceptionFamilies": 0,
"notDeployedDeceptionFamilies": 0,
"policyId": null,
"ghost": false
}
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| ILLNET_machineName | 以 JSON 格式提供 (主機資訊) |
| ILLNET_isHealthy | 以 JSON 格式提供 (主機資訊) |
| ILLNET_host | 以 JSON 格式提供 (主機資訊) |
| ILLNET_distinguishedName | 以 JSON 格式提供 (主機資訊) |
| ILLNET_sourceDiscoveryName | 以 JSON 格式提供 (主機資訊) |
| ILLNET_policyName | 以 JSON 格式提供 (主機資訊) |
| ILLNET_operatingSystemName | 以 JSON 格式提供 (主機資訊) |
| ILLNET_agentVersion | 以 JSON 格式提供 (主機資訊) |
| ILLNET_loggedInUserName | 以 JSON 格式提供 (主機資訊) |
| ILLNET_machineExecutionUnifiedStatus | 以 JSON 格式提供 (主機資訊) |
| ILLNET_bitness | 以 JSON 格式提供 (主機資訊) |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止劇本執行: 如果至少有一個 (is_success = true) 無法取得資料:「Action wasn't able to enrich the following entities using Illusive Networks: \n {entity.identifier}」。 if data not available for all (is_success = false): "No entities were enriched". 動作應會失敗並停止執行劇本: 如果狀態碼為 429:「Error executing action "Enrich Entities". 原因:速率限制錯誤。請參閱說明文件,瞭解如何提高速率限制」。 |
一般 |
| 案件總覽表格 | 名稱:{entity.identifier} 只會有 2 個資料欄:「鍵」和「值」。 |
實體 |
執行鑑識掃描
說明
在 Illusive Networks 中,對端點執行鑑識掃描。適用於 IP 和主機名稱實體。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 包含系統資訊 | 核取方塊 | 已勾選 | 是 | 如果啟用,動作會傳回系統資訊。 |
| 包含預先擷取檔案資訊 | 核取方塊 | 已勾選 | 是 | 如果啟用,動作會傳回預先擷取檔案的相關資訊。 |
| 包含「新增/移除程式」資訊 | 核取方塊 | 已勾選 | 是 | 如果啟用,動作會傳回新增/移除程式的相關資訊。 |
| 包含啟動程序資訊 | 核取方塊 | 已勾選 | 是 | 如果啟用,動作會傳回啟動程序相關資訊。 |
| 包含執行中的程序資訊 | 核取方塊 | 已勾選 | 是 | 如果啟用,動作會傳回執行中程序的相關資訊。 |
| 納入使用者輔助程式資訊 | 核取方塊 | 已勾選 | 是 | 如果啟用這項設定,動作會傳回使用者輔助計畫的相關資訊。 |
| 包含 Powershell 記錄資訊 | 核取方塊 | 已勾選 | 是 | 如果啟用,動作會傳回 PowerShell 記錄的相關資訊。 |
最多可退回的商品數量 |
整數 | 50 | 否 | 指定要退貨的商品數量。如未提供任何內容,動作會傳回所有內容。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"Entity.identifier": {
"host_info": "{Host_info part}",
"prefetch_info": "{prefetch_info}",
"installed_programs_info": "{installed_programs_info}",
"startup_processes": "{startup_processes}",
"running_processes": "{running_processes}",
"user_assist_info": "{user_assist_info}",
"powershell_history": "{powershell history}"
}
}
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| ILLNET_osName | 以 JSON 格式提供 (主機資訊) |
| ILLNET_machineType | 以 JSON 格式提供 (主機資訊) |
| ILLNET_host | 以 JSON 格式提供 (主機資訊) |
| ILLNET_loggedInUser | 以 JSON 格式提供 (主機資訊) |
| ILLNET_userProfiles | 以 JSON 格式提供 (主機資訊) |
| ILLNET_operatingSystemType | 以 JSON 格式提供 (主機資訊) |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止劇本執行: 如果至少有一個失敗:「Action wasn't able to get any information from forensic scan on the following endpoints: {entity.identifier}」(動作無法從下列端點的鑑識掃描取得任何資訊:{entity.identifier}) 如果所有端點都未成功:「在提供的端點上找不到鑑識資訊。」 非同步訊息:「已在下列端點啟動鑑識掃描:{實體 ID}。\n 已完成下列端點的鑑識掃描。" 動作應會失敗並停止執行劇本: 如果未啟用任何「include ...」參數:「Error executing action "Run Forensic Scan"」。原因:您必須啟用至少一個「包含 ...」參數 |
一般 |
| 案件總覽表格主機資訊 | 名稱:{entity.identifier} 只會有 2 個資料欄:「鍵」和「值」。 |
實體 |
| 案件總覽表格預先擷取資訊 | 名稱:「{entity.identifier}:預先擷取檔案資訊」 欄: 檔案名稱 上次執行時間 檔案修改時間 預先擷取檔案名稱 |
一般 |
案件總覽表格 INSTALLED_PROGRAMS_INFO |
名稱:「{entity.identifier}: Add-Remove Programs Information」(「{entity.identifier}:新增/移除程式資訊」) 欄: 顯示名稱 檔案名稱 |
一般 |
案件總覽表格 STARTUP_PROCESSES |
名稱:「{entity.identifier}:啟動程序」 欄: 名稱 指令 位置 使用者 |
一般 |
案件總覽表格 RUNNING_PROCESSES |
名稱:「{entity.identifier}:執行中的程序」 欄: 使用者 管理員權限 指令 程序 ID 程序名稱 開始時間 |
一般 |
案件總覽表格 USER_ASSIST_INFO |
名稱:「{entity.identifier}: User-Assist Programs Information」(使用者輔助計畫資訊) 欄: 檔案名稱 使用者名稱 上次使用日期 |
**** |
案件總覽表格 POWER_SHELL_HISTORY |
名稱:「{entity.identifier}:Powershell 記錄」 欄: 使用者名稱 指令 |
列出有誤導性的項目
說明
列出 Illusive Networks 中可用的欺騙性項目。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 欺騙性類型 | DDL | 全部 可能的值: 全部 僅限使用者 僅限伺服器 |
是 | 指定要傳回哪種欺騙性項目。 |
| 欺騙性狀態 | DDL | 全部 可能的值: 全部 僅限已核准、僅限建議 |
是 | 根據狀態指定應傳回哪種欺騙性商品。 |
| 要傳回的項目數量上限 | 整數 | 50 | 否 | 指定要退貨的商品數量。預設值為 50。如未指定任何項目,動作會傳回所有項目。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 結果
{
"users": [
{
"username": "backupad",
"password": "5437niwY",
"domainName": "intw-lab.local",
"policyNames": [
"Full Protection"
],
"adUser": false,
"activeUser": false,
"deceptiveState": "APPROVED"
},
{
"username": "jvillar",
"password": "ritA1102",
"domainName": "intw-lab.local",
"policyNames": [],
"adUser": true,
"activeUser": false,
"deceptiveState": "SUGGESTED"
},
{
"username": "gaccess.user",
"password": "psUiS01",
"domainName": "intw-lab.local",
"policyNames": [],
"adUser": true,
"activeUser": false,
"deceptiveState": "SUGGESTED"
},
{
"username": "service.user",
"password": "mAkaYe4",
"domainName": "intw-lab.local",
"policyNames": [],
"adUser": true,
"activeUser": false,
"deceptiveState": "SUGGESTED"
}
],
"servers": [
{
"host": "10.0.0.2",
"serviceTypes": [
"DB"
],
"policyNames": [
"Full Protection"
],
"adHost": false,
"deceptiveState": "APPROVED"
},
{
"host": "10.0.0.1",
"serviceTypes": [
"DB"
],
"policyNames": [
"Full Protection"
],
"adHost": false,
"deceptiveState": "APPROVED"
}
]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗或停止劇本執行: 如果狀態碼為 200,但沒有可用資料 (is_success=false):「根據 Illusive Networks 中提供的條件,系統找不到有關誤導性項目的資料。」 動作應會失敗並停止執行劇本: |
一般 |
| 案件總覽表格 | 名稱:「欺騙性使用者」 欄: 使用者名稱 密碼 網域 政策 AD 使用者 使用中 州 |
一般 |
| 案件總覽表格 | 名稱:「Deceptive Servers」(欺騙性伺服器) 欄: 主機 服務 政策 AD Server 州 |
一般 |
新增詐欺使用者
說明
在 Illusive Networks 中新增欺騙性使用者。
參數
| 名稱 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|
| 使用者名稱 | 不適用 | 是 | 指定新冒用者的使用者名稱。 |
| 密碼 | 不適用 | 是 | 指定新冒用者的密碼。 |
| DNS 網域 | 不適用 | 否 | 指定新冒用者的網域名稱。 |
| 政策名稱 | 不適用 | 否 | 請以逗號分隔清單的形式,指定要套用至新詐欺使用者的政策。如果未提供任何政策,動作預設會使用所有政策。 |
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 成功 (is_success=true) → 已在 Illusive Networks 中成功新增欺騙性使用者。 案例 1:使用者已存在 (失敗) - 執行動作「{動作名稱}」時發生錯誤。原因:已有名為「{username}」的欺騙性使用者。 案例 2:400 狀態碼 (失敗) - 執行動作「{動作名稱}」時發生錯誤。原因:{error message}。 案例 3:一般錯誤 (失敗) - 執行動作「{action name}」時發生錯誤。原因:{error traceback}。 |
一般 |
移除有誤導行為的使用者
說明
從 Illusive Networks 移除欺騙性使用者。
參數
| 名稱 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|
| 使用者名稱 | 不適用 | 是 | 指定要移除的詐欺使用者名稱。 |
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 成功 → 已成功移除 Illusive Networks 中的詐欺使用者。 案例 1:使用者不存在 (is_success=false) - 系統無法移除誤導性使用者「{username}」。原因:欺騙性使用者「{username}」不存在。 案例 2:一般錯誤 (失敗) - 執行動作「{action name}」時發生錯誤。原因:{error traceback}。 |
一般 |
新增詐欺伺服器
說明
在 Illusive Networks 中新增欺騙性伺服器。
參數
| 名稱 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|
| 伺服器名稱 | 不適用 | 是 | 指定新詐欺伺服器的名稱。 |
| 服務類型 | 資料庫 | 是 | 為新的欺騙性伺服器指定以半形逗號分隔的服務類型清單。 |
| 政策名稱 | 否 | 以逗號分隔的清單形式,指定要套用至新詐欺伺服器的政策。如果未提供任何政策,動作預設會使用所有政策。 |
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 成功 (is_success=true) → 已在 Illusive Networks 中成功新增欺騙性伺服器。 案例 1:伺服器已存在 (失敗) - 執行動作「{動作名稱}」時發生錯誤。原因:已有名為「{伺服器名稱}」的誤導性伺服器。 案例 2:400 狀態 (失敗) - 執行動作「{動作名稱}」時發生錯誤。原因:{error message}。 案例 3:一般錯誤 - 執行動作「{action name}」時發生錯誤。原因:{error traceback}。 |
一般 |
移除誤導性伺服器
說明
從 Illusive Networks 移除欺騙性伺服器。
參數
| 名稱 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|
| 伺服器名稱 | 不適用 | 是 | 指定要移除的詐欺伺服器名稱。 |
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 成功 → 已成功移除 Illusive Networks 中的詐欺伺服器。 案例 1:伺服器不存在 (is_success=false) - 系統無法移除誤導性伺服器「{server name}」。原因:伺服器「{server name}」不存在。 案例 2:一般錯誤 - 執行動作「{action name}」時發生錯誤。原因:{error traceback}。 |
一般 |
連接器
Illusive Networks - Incidents 連接器
說明
從 Illusive Networks 提取相關鑑識時間軸的事件。
在 Google SecOps 中設定 Illusive Networks - Incidents Connector
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | Type> | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | details_serviceType | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | http://x.x.x.x | 是 | Illusive Networks 執行個體的 API 根目錄。 |
| API 金鑰 | 字串 | 不適用 | 是 | Illusive Networks 的 API 金鑰。注意:字串「Basic」不應是值的一部分。 |
| 警告嚴重程度 | 字串 | 中 | 是 | 根據 Illusive Networks 的事件建立 Google SecOps 警示時,警示的嚴重程度。 可能的值包括: 參考用 低 中 高 重大 |
| 可倒轉的小時數上限 | 整數 | 1 | 否 | 要擷取事件的小時數。 |
| 要擷取的事件數量上限 | 整數 | 10 | 否 | 每個連接器疊代要處理多少事件。上限為 1000。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已勾選 | 是 | 啟用後,系統會將允許清單視為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 如果已啟用,請確認連線至 Illusive Networks 伺服器的 SSL 憑證是否有效。 |
| CA 憑證檔案 | 字串 | 不適用 | 否 | Base64 編碼的 CA 憑證檔案。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。