Diese Seite wurde von der Cloud Translation API übersetzt.

IntSights

Integrationsversion: 20.0

IntSights-Integration in Google Security Operations konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Aktionen

Notiz hinzufügen

Beschreibung

Fügen Sie der Benachrichtigung in IntSights eine Notiz hinzu.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Benachrichtigungs-ID	String	–	Ja	Geben Sie die ID der Benachrichtigung an, der Sie eine Notiz hinzufügen möchten.
Hinweis	String	–	Ja	Geben Sie die Notiz für die Benachrichtigung an.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg (is_success=true): „Successfully add a note to the alert with ID '{0}' in Intsights “.format(alert id) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Hinweis hinzufügen‘. Grund: {0}''.format(error.Stacktrace) Wenn der Statuscode 404 gemeldet wird: „Fehler beim Ausführen der Aktion ‚Hinweis hinzufügen‘. Grund: Die Warnmeldung mit der ID {alert id} wurde in IntSights nicht gefunden.'	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg (is_success=true): „Successfully add a note to the alert with ID '{0}' in Intsights “.format(alert id)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Hinweis hinzufügen‘. Grund: {0}''.format(error.Stacktrace)

Wenn der Statuscode 404 gemeldet wird: „Fehler beim Ausführen der Aktion ‚Hinweis hinzufügen‘. Grund: Die Warnmeldung mit der ID {alert id} wurde in IntSights nicht gefunden.'

Allgemein

Analysten fragen

Beschreibung

Einen Analysten bezüglich der Benachrichtigung in IntSights fragen.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Benachrichtigungs-ID	String	–	Ja	Geben Sie die ID der Benachrichtigung an, zu der Sie den Analysten fragen möchten.
Kommentar	String	–	Ja	Geben Sie den Kommentar für den Analysten an.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully asked analyst in the alert with ID '{0}' in Intsights “.format(alert id) Wenn der Statuscode 400 oder 500 gemeldet wird: „Die Aktion konnte den Analysten in der Benachrichtigung mit der ID {0} in Intsights nicht fragen. Grund: {1}.".format(alert_id, response string) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Analysten fragen‘. Grund: {0}''.format(error.Stacktrace)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Successfully asked analyst in the alert with ID '{0}' in Intsights “.format(alert id)

Wenn der Statuscode 400 oder 500 gemeldet wird: „Die Aktion konnte den Analysten in der Benachrichtigung mit der ID {0} in Intsights nicht fragen. Grund: {1}.".format(alert_id, response string)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Analysten fragen‘. Grund: {0}''.format(error.Stacktrace)

Allgemein

Benachrichtigung zuweisen

Beschreibung

Weisen Sie einem Analysten in IntSights eine Benachrichtigung zu.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Benachrichtigungs-ID	String	–	Ja	Geben Sie die ID der Benachrichtigung an, für die Sie die Zuweisung ändern möchten.
ID der zugewiesenen Person	String	–	Nein	Geben Sie die ID des Analysten an, der der Benachrichtigung zugewiesen werden soll. Hinweis: Wenn sowohl „Assignee ID“ als auch „Assignee Email Address“ angegeben sind, wird „Assignee ID“ priorisiert.
E‑Mail-Adresse der zuständigen Person	String	–	Nein	Geben Sie die E‑Mail-Adresse des Analysten an, der der Benachrichtigung zugewiesen werden soll. Hinweis: Wenn sowohl „Assignee ID“ als auch „Assignee Email Address“ angegeben sind, wird „Assignee ID“ priorisiert.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg mit der ID des zugewiesenen Nutzers: „Successfully assigned analyst with ID '{0}' to the alert with ID {1} in Intsights“.format(assignee id, alert id) Bei erfolgreicher Zuweisung mit der E-Mail-Adresse des Zuweisungsempfängers: „Successfully assigned analyst with email address '{0}' to the alert with ID {1} in Intsights“.format(assignee email address, alert id) Wenn der zugewiesene Mitarbeiter nicht gefunden wird, ist der Statuscode 400 und es wurde mit der zugewiesenen Mitarbeiter-ID gearbeitet: „Die Zuweisung für die Benachrichtigung mit der ID {0} konnte durch die Aktion nicht geändert werden. Grund: Der zugewiesene Nutzer mit der ID {1} wurde nicht gefunden.“.format(alert_id, assignee id) Wenn der zugewiesene Nutzer nicht gefunden wird, ist der Statuscode 400 und es wurde mit der E-Mail-Adresse des zugewiesenen Nutzers gearbeitet: „Die Zuweisung der Benachrichtigung mit der ID {0} konnte durch die Aktion nicht geändert werden. Grund: Der Empfänger mit der E‑Mail-Adresse {1} wurde nicht gefunden.format(alert_id, email address)" Wenn der Statuscode 400 oder 500 gemeldet wird: „Die Zuweisung für die Benachrichtigung mit der ID {0} konnte durch die Aktion nicht geändert werden. Grund: {1}.".format(alert_id, response) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Benachrichtigung zuweisen‘. Grund: {0}''.format(error.Stacktrace) Wenn die Parameter „Assignee ID“ (Zuweisungs-ID) und „Assignee Email address“ (E-Mail-Adresse des Zuweisungsempfängers) nicht angegeben sind: „Assignee ID or Email Address should be specified.“ (Die Zuweisungs-ID oder die E-Mail-Adresse des Zuweisungsempfängers muss angegeben werden.)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg mit der ID des zugewiesenen Nutzers: „Successfully assigned analyst with ID '{0}' to the alert with ID {1} in Intsights“.format(assignee id, alert id)

Bei erfolgreicher Zuweisung mit der E-Mail-Adresse des Zuweisungsempfängers: „Successfully assigned analyst with email address '{0}' to the alert with ID {1} in Intsights“.format(assignee email address, alert id)

Wenn der zugewiesene Mitarbeiter nicht gefunden wird, ist der Statuscode 400 und es wurde mit der zugewiesenen Mitarbeiter-ID gearbeitet:

„Die Zuweisung für die Benachrichtigung mit der ID {0} konnte durch die Aktion nicht geändert werden. Grund: Der zugewiesene Nutzer mit der ID {1} wurde nicht gefunden.“.format(alert_id, assignee id)

Wenn der zugewiesene Nutzer nicht gefunden wird, ist der Statuscode 400 und es wurde mit der E-Mail-Adresse des zugewiesenen Nutzers gearbeitet: „Die Zuweisung der Benachrichtigung mit der ID {0} konnte durch die Aktion nicht geändert werden. Grund: Der Empfänger mit der E‑Mail-Adresse {1} wurde nicht gefunden.format(alert_id, email address)"

Wenn der Statuscode 400 oder 500 gemeldet wird: „Die Zuweisung für die Benachrichtigung mit der ID {0} konnte durch die Aktion nicht geändert werden. Grund: {1}.".format(alert_id, response)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Benachrichtigung zuweisen‘. Grund: {0}''.format(error.Stacktrace)

Wenn die Parameter „Assignee ID“ (Zuweisungs-ID) und „Assignee Email address“ (E-Mail-Adresse des Zuweisungsempfängers) nicht angegeben sind: „Assignee ID or Email Address should be specified.“ (Die Zuweisungs-ID oder die E-Mail-Adresse des Zuweisungsempfängers muss angegeben werden.)

Allgemein

Benachrichtigung schließen

Beschreibung

Schließen Sie die Benachrichtigung in IntSights.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Benachrichtigungs-ID	String	–	Ja	Geben Sie die ID der Benachrichtigung an, die Sie schließen möchten.
Grund	DDL	Problem behoben Mögliche Werte: Problem behoben Nur zur Information Bekanntes Problem Domain im Besitz des Unternehmens Legitime Anwendung/legitimes Profil Hat nichts mit meinem Unternehmen zu tun Falsch-positiv Sonstiges	Ja	Geben Sie den Grund an, warum die Benachrichtigung geschlossen werden muss.
Zusätzliche Informationen	String	–	Nein	Geben Sie zusätzliche Informationen an, um zu erläutern, warum die Benachrichtigung geschlossen werden sollte.
Preis	Ganzzahl	5	Nein	Geben Sie die Bewertung der Benachrichtigung an. Der Höchstwert liegt bei 5.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Die Benachrichtigung mit der ID ‚{0}‘ wurde in Intsights geschlossen.“format(alert id) Wenn der Statuscode 400 gemeldet wird: „Der Vorfall mit der ID {0} konnte in Intsights nicht geschlossen werden. Grund: {1}.".format(alert_id, response string) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Benachrichtigung schließen‘. Grund: {0}''.format(error.Stacktrace) Wenn der Parameter „Rate“ nicht im Bereich von 1 bis 5 liegt: „Rate value should be in range from 1 to 5.“ (Der Wert für die Rate sollte im Bereich von 1 bis 5 liegen.)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Die Benachrichtigung mit der ID ‚{0}‘ wurde in Intsights geschlossen.“format(alert id)

Wenn der Statuscode 400 gemeldet wird: „Der Vorfall mit der ID {0} konnte in Intsights nicht geschlossen werden. Grund: {1}.".format(alert_id, response string)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Benachrichtigung schließen‘. Grund: {0}''.format(error.Stacktrace)

Wenn der Parameter „Rate“ nicht im Bereich von 1 bis 5 liegt: „Rate value should be in range from 1 to 5.“ (Der Wert für die Rate sollte im Bereich von 1 bis 5 liegen.)

Allgemein

CSV-Datei mit Benachrichtigungen herunterladen

Beschreibung

Laden Sie eine CSV-Datei mit Informationen zu Benachrichtigungen in IntSights herunter.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Benachrichtigungs-ID	String	–	Ja	Geben Sie die ID der Benachrichtigung an, für die Sie eine CSV-Datei herunterladen möchten.
Download-Ordnerpfad	String	–	Ja	Geben Sie den Pfad zu dem Ordner an, in dem Sie die CSV-Datei speichern möchten.
Überschreiben	Kästchen	–	Nein	Wenn diese Option aktiviert ist, wird die Datei mit demselben Namen überschrieben.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

{
    "absolute_paths": ["/opt/file_1"]
}

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn mindestens eine CSV-Datei erfolgreich heruntergeladen wurde (is_success=true): "Successfully downloaded CSV for the alert with ID {0} in Intsights:".format(alert_id) Wenn der Statuscode 400 gemeldet wird (is_success=true): „Für die Benachrichtigung mit der ID {alert_id} wurden in Intsights keine CSV-Informationen gefunden.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚CSV-Datei für Benachrichtigung herunterladen‘. Grund: {0}''.format(error.Stacktrace) Wenn bereits eine Datei mit demselben Namen vorhanden ist, „Overwrite“ aber auf „false“ gesetzt ist: „Error executing action ‚Download Alert CSV‘.“ Grund: Datei mit dem Pfad {0} ist bereits vorhanden. Bitte löschen Sie die Datei oder setzen Sie „Overwrite“ auf „true“.“ Wenn der Statuscode 404 gemeldet wird: „Fehler beim Ausführen der Aktion ‚CSV-Datei mit Benachrichtigungen herunterladen‘. Grund: Es konnte keine Benachrichtigung mit der ID {ID} gefunden werden.	Allgemein

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn mindestens eine CSV-Datei erfolgreich heruntergeladen wurde (is_success=true): "Successfully downloaded CSV for the alert with ID {0} in Intsights:".format(alert_id)

Wenn der Statuscode 400 gemeldet wird (is_success=true): „Für die Benachrichtigung mit der ID {alert_id} wurden in Intsights keine CSV-Informationen gefunden.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler:

„Fehler beim Ausführen der Aktion ‚CSV-Datei für Benachrichtigung herunterladen‘. Grund: {0}''.format(error.Stacktrace)

Wenn bereits eine Datei mit demselben Namen vorhanden ist, „Overwrite“ aber auf „false“ gesetzt ist: „Error executing action ‚Download Alert CSV‘.“ Grund: Datei mit dem Pfad {0} ist bereits vorhanden. Bitte löschen Sie die Datei oder setzen Sie „Overwrite“ auf „true“.“

Wenn der Statuscode 404 gemeldet wird: „Fehler beim Ausführen der Aktion ‚CSV-Datei mit Benachrichtigungen herunterladen‘. Grund: Es konnte keine Benachrichtigung mit der ID {ID} gefunden werden.

Allgemein

Benachrichtigungsbild abrufen

Beschreibung

Informationen zu Warnbildern in IntSights abrufen.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Bild-IDs für Benachrichtigungen	CSV	–	Ja	Geben Sie die durch Kommas getrennte Liste der IDs der Warnungsbilder an. Beispiel: id1,id2.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[
  {
    "image_name": "5b59daf4bdafd90xxxxxx",
    "image_base64_content": "image content in base64"
  }
]

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg für mindestens ein Bild: „Successfully retrieved images from the following IDs in Intsights:“ (Bilder mit den folgenden IDs wurden in Intsights abgerufen).format(list of ids) Wenn mindestens ein Bild nicht abgerufen werden konnte: „Die Aktion konnte keine Bilder mit den folgenden IDs aus Intsights abrufen:\n“.format(list of ids) Wenn nicht alle Bilder abgerufen werden konnten: „Es wurden keine Bilder abgerufen.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Bild für Benachrichtigung abrufen‘. Grund: {0}''.format(error.Stacktrace)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg für mindestens ein Bild: „Successfully retrieved images from the following IDs in Intsights:“ (Bilder mit den folgenden IDs wurden in Intsights abgerufen).format(list of ids)

Wenn mindestens ein Bild nicht abgerufen werden konnte: „Die Aktion konnte keine Bilder mit den folgenden IDs aus Intsights abrufen:\n“.format(list of ids)

Wenn nicht alle Bilder abgerufen werden konnten: „Es wurden keine Bilder abgerufen.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Bild für Benachrichtigung abrufen‘. Grund: {0}''.format(error.Stacktrace)

Allgemein

Ping

Beschreibung

Prüfen Sie die Verbindung.

Parameter

–

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für die URL-Entität ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

N/A

Entitätsanreicherung

–

Statistiken

–

Benachrichtigung wieder öffnen

Beschreibung

Benachrichtigung in IntSights wieder öffnen.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Benachrichtigungs-ID	String	–	Wahr	Geben Sie die ID der Benachrichtigung an, die Sie wieder öffnen möchten.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

Fall-Repository

Ergebnistyp	Wert / Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Die Benachrichtigung mit der ID ‚{0}‘ wurde in Intsights wieder geöffnet.“format(alert id) Wenn der Statuscode 400 gemeldet wird: „Durch die Aktion konnte die Benachrichtigung mit der ID {0} in Intsights nicht wieder geöffnet werden. Grund: {1}.".format(alert_id, response string) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Benachrichtigung wieder öffnen‘. Grund: {0}''.format(error.Stacktrace)	Allgemein

Ergebnistyp

Wert / Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Die Benachrichtigung mit der ID ‚{0}‘ wurde in Intsights wieder geöffnet.“format(alert id)

Wenn der Statuscode 400 gemeldet wird: „Durch die Aktion konnte die Benachrichtigung mit der ID {0} in Intsights nicht wieder geöffnet werden. Grund: {1}.".format(alert_id, response string)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Allgemein

IOCs suchen

Beschreibung

Organisieren und durchsuchen Sie alle IOCs in einem einzigen, benutzerfreundlichen Dashboard. Im zentralen TIP-Dashboard werden IOCs nach Schweregrad und Vertrauenswürdigkeit zusammengefasst. So können Sie leicht erkennen, welche schädlichen IOCs das größte Risiko für Ihre Organisation darstellen.

Parameter

–

Anwendungsfälle

–

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[{
   "EntityResult":
     {
        "Status": "Active",
        "Domain": "sephoratv.com",
        "Severity":
         {
           "Status": "done",
           "LastUpdate": "2019-01-20T04:32:58.833Z",
           "Features":
             [{
                 "Score": 10, "Name": "base_intsights_multiple",
                  "Match": 1
               },
               {
                  "Score": 0,
                  "Name": "domain_associated_malware_names",
                  "Match": 0
                },
               {
                  "Score": 0,
                  "Name": "domain_associated_malware_ip_addresses",
                  "Match": 1
              }],
           "LastUpdateMessage": "",
           "Value": "Low",
           "Score": 20
          },
        "SourceID": "59e376681bb0800644e1368f",
        "Value": "sephoratv.com",
        "Flags": {"IsInAlexa": false},
        "LastSeen": "2019-01-20T04:24:27.258Z",
        "_id": "5c43f80483df230007485c48",
        "Type": "Domains",
        "Enrichment":
         {
           "Status": "done",
           "LastUpdate": "2019-01-20T04:32:58.613Z",
           "Data":
               {
                  "domain_status_blocked": false,
                  "latest_resolution_date": "2019-01-20T04:27:22.299Z",
                  "associated_malware_ip_addresses": ["185.16.44.132"],
                  "contact_emails": [],
                  "referencing_file_hashes": [],
                  "malware_category": [],
                  "mail_servers": ["a.mx.domainoo.fr."],
                  "associated_malware_names": [],
                  "threat_actor_category": [],
                  "campaigns": [],
                  "associated_malware_families": [],
                  "resolved_ips": ["185.16.44.132"],
                  "cve_ids": [],
                  "downloaded_file_hashes": [],
                  "domain_expired": false,
                  "communicating_file_hashes": ["210c2ddbf747220df645fc4d77e7decd1be7df27e43b2f79e4b45bd5fe0a2a6e"],
                  "name_servers": ["a.ns.domainoo.fr.",
                                   "b.ns.domainoo.fr.",
                                   "c.ns.domainoo.fr."],
                  "registrar": "N/A",
                  "threat_actors": []
                }
           },
        "FirstSeen": "2019-01-20T04:24:27.258Z",
        "AccountID": null
    },
 "Entity": "sephoratv.com"
}]

Entitätsanreicherung

Name des Anreicherungsfelds	Logik – Wann anwenden?
Status	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Domain	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Schweregrad	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
SourceID	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Wert	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Flags	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Zuletzt erfasst	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
_id	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Typ	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Anreichern	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
Zuerst erfasst	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist
AccountID	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist

Statistiken

Connectors

Intsights Connector

Beschreibung

Ruft Probleme von Intsights in Google SecOps ab.

Insights Connector in Google SecOps konfigurieren

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Parametername	Typ	Standardwert	Beschreibung
DeviceProductField	String	Details_Source_NetworkType	Der Feldname, der zur Bestimmung des Geräteprodukts verwendet wird.
EventClassId	String	Details_Title	Der Feldname, der zum Bestimmen des Ereignisnamens (Untertyp) verwendet wird.
PythonProcessTimeout	String	60	Das Zeitlimit (in Sekunden) für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.
API-Stamm	String	https://api.intsights.com	Das API-Stammverzeichnis des Intsights-Servers.
Konto-ID	String	–	Die Konto-ID, mit der Sie sich anmelden möchten.
API-Schlüssel	Passwort	–	Der API-Schlüssel für die Anmeldung.
SSL überprüfen	Kästchen	Deaktiviert	Gibt an, ob das SSL-Zertifikat des Servers geprüft werden soll.
Max. Tage rückwärts	Ganzzahl	3	Maximale Anzahl von Tagen, die zurückgeblickt werden soll, um Benachrichtigungen abzurufen.
Maximale Anzahl an Benachrichtigungen pro Zyklus	Ganzzahl	10	Maximale Anzahl von Benachrichtigungen, die pro Connector-Zyklus abgerufen werden sollen.
Proxyserveradresse	String	–	Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername	String	–	Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort	Passwort	–	Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Proxyunterstützung

Der Connector unterstützt Proxys.

Zulassungs-/Sperrliste

Der Connector unterstützt Regeln für Zulassungs-/Ablehnungslisten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten