IntSights
Versión de integración: 20.0
Configura la integración de IntSights en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Acciones
Agregar nota
Descripción
Agrega una nota a la alerta en IntSights.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | String | N/A | Sí | Especifica el ID de la alerta a la que quieres agregar una nota. |
| Nota | String | N/A | Sí | Especifica la nota de la alerta. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente (is_success=true): "Se agregó correctamente una nota a la alerta con el ID "{0}" en Intsights ".format(ID de alerta) La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro: "Error al ejecutar la acción "Agregar nota". Reason: {0}''.format(error.Stacktrace) Si se informa el código de estado 404: "Error al ejecutar la acción "Agregar nota". Motivo: No se encontró la alerta con el ID {alert id} en IntSights". |
General |
Pregúntale a un analista
Descripción
Pregúntale a un analista sobre la alerta en IntSights.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | String | N/A | Sí | Especifica el ID de la alerta sobre la que quieres consultar al analista. |
| Comentario | String | N/A | Sí | Especifica el comentario para el analista. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente: "Se le preguntó correctamente al analista sobre la alerta con el ID "{0}" en Intsights ".format(ID de alerta) Si se informa el código de estado 400 o 500: "No se pudo hacer la pregunta al analista en la alerta con el ID {0} en Intsights. Motivo: {1}.".format(alert_id, response string) La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión al servidor o algún otro problema: "Error al ejecutar la acción "Pregúntale a un analista". Reason: {0}''.format(error.Stacktrace) |
General |
Asignar alerta
Descripción
Asigna la alerta a un analista en IntSights.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | String | N/A | Sí | Especifica el ID de la alerta en la que deseas cambiar la asignación. |
| ID del asignatario | String | N/A | No | Especifica el ID del analista que se debe asignar a la alerta. |
| Dirección de correo electrónico del usuario asignado | String | N/A | No | Especifica la dirección de correo electrónico del analista que se debe asignar a la alerta. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente con el ID del asignado: "Se asignó correctamente el analista con el ID "{0}" a la alerta con el ID {1} en Intsights ".format(ID del asignado, ID de la alerta) Si se realiza correctamente con la dirección de correo electrónico del asignado: "Se asignó correctamente el analista con la dirección de correo electrónico "{0}" a la alerta con el ID {1} en Intsights ".format(dirección de correo electrónico del asignado, ID de la alerta) Si no se encuentra el asignatario, el código de estado es 400 y se trabajó con el ID del asignatario: "No se pudo cambiar la asignación en la alerta con el ID {0}. Motivo: No se encontró el asignatario con el ID {1}".format(alert_id, assignee id)"
Si se informa el código de estado 400 o 500: "No se pudo cambiar la asignación en la alerta con el ID {0}. Reason: {1}.".format(alert_id, response) La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Asignar alerta". Motivo: {0}''.format(error.Stacktrace) Si no se especifican los parámetros "ID del cesionario" y "Dirección de correo electrónico del cesionario", se mostrará el mensaje "Se debe especificar el ID o la dirección de correo electrónico del cesionario". |
General |
Cerrar la alerta
Descripción
Se cierra la alerta en IntSights.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | String | N/A | Sí | Especifica el ID de la alerta que deseas cerrar. |
| Motivo | DDL | Problema resuelto Valores posibles:
|
Sí | Especifica el motivo por el que se debe cerrar la alerta. |
| Información adicional | String | N/A | No | Especifica información adicional que explique por qué se debe cerrar la alerta. |
| Tasa | Número entero | 5 | No | Especifica la calificación de la alerta. El valor máximo es 5. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente: "Se cerró correctamente la alerta con el ID "{0}" en Intsights ".format(ID de alerta) Si se informa el código de estado 400: "No se pudo cerrar la alerta con el ID {0} en Intsights. Motivo: {1}.".format(alert_id, response string) La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Cerrar alerta". Motivo: {0}''.format(error.Stacktrace) Si el parámetro "Rate" no está en el rango de 1 a 5: "El valor de la tarifa debe estar en el rango de 1 a 5". |
General |
Descarga el CSV de alertas
Descripción
Descarga el archivo CSV que contiene información relacionada con la alerta en IntSights.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | String | N/A | Sí | Especifica el ID de la alerta para la que deseas descargar el archivo CSV. |
| Ruta de acceso a la carpeta de descarga | String | N/A | Sí | Especifica la ruta de acceso a la carpeta en la que deseas almacenar el archivo CSV. |
| Reemplazar | Casilla de verificación | N/A | No | Si está habilitada, la acción reemplazará el archivo con el mismo nombre. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"absolute_paths": ["/opt/file_1"]
}
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se realiza correctamente para al menos un archivo CSV (is_success=true): "Se descargó correctamente el archivo CSV para la alerta con el ID {0} en Intsights:".format(alert_id) Si se informa el código de estado 400 (is_success=true): "No se encontró información de CSV para la alerta con el ID {alert_id} en Intsights". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Se produjo un error al ejecutar la acción "Descargar CSV de alerta". Reason: {0}''.format(error.Stacktrace) Si ya existe un archivo con el mismo nombre, pero "Overwrite" está configurado como falso: "Error al ejecutar la acción "Descargar CSV de alerta". Motivo: Ya existe un archivo con la ruta {0}. Borra el archivo o configura "Overwrite" como verdadero". Si se informa el código de estado 404: "Error al ejecutar la acción "Descargar CSV de alerta". Motivo: No se pudo encontrar la alerta con el ID {ID}". |
General |
Obtener imagen de alerta
Descripción
Recupera información sobre las imágenes de alertas en IntSights.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| IDs de imágenes de alertas | CSV | N/A | Sí | Especifica la lista de IDs de imágenes de alertas separados por comas. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"image_name": "5b59daf4bdafd90xxxxxx",
"image_base64_content": "image content in base64"
}
]
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se recuperó correctamente al menos una imagen: "Successfully retrieved images from the following IDs in Intsights:".format(list of ids) Si no se pudo realizar la acción para al menos una imagen: "Action wasn't able to successfully retrieve images from the following IDs in Intsights:\n".format(list of ids) Si no se recuperaron todas las imágenes: "No se recuperaron imágenes". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Get Alert Image". Reason: {0}''.format(error.Stacktrace) |
General |
Ping
Descripción
Verifica la conectividad.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad de URL.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Reabrir alerta
Descripción
Reabre la alerta en IntSights.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alerta | String | N/A | Verdadero | Especifica el ID de la alerta que deseas volver a abrir. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente: "Se volvió a abrir correctamente la alerta con el ID "{0}" en Intsights ".format(ID de alerta) Si se informa el código de estado 400: "No se pudo volver a abrir la alerta con el ID {0} en Intsights. Motivo: {1}.".format(alert_id, response string) La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Reopen Alert". Reason: {0}''.format(error.Stacktrace) |
General |
Buscar IOC
Descripción
Organiza y busca todos tus IOC en un solo panel fácil de usar. El panel centralizado de TIP resume los IOC por nivel de gravedad y confianza, por lo que puedes comprender fácilmente qué IOC maliciosos representan el mayor riesgo para tu organización.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{
"Status": "Active",
"Domain": "sephoratv.com",
"Severity":
{
"Status": "done",
"LastUpdate": "2019-01-20T04:32:58.833Z",
"Features":
[{
"Score": 10, "Name": "base_intsights_multiple",
"Match": 1
},
{
"Score": 0,
"Name": "domain_associated_malware_names",
"Match": 0
},
{
"Score": 0,
"Name": "domain_associated_malware_ip_addresses",
"Match": 1
}],
"LastUpdateMessage": "",
"Value": "Low",
"Score": 20
},
"SourceID": "59e376681bb0800644e1368f",
"Value": "sephoratv.com",
"Flags": {"IsInAlexa": false},
"LastSeen": "2019-01-20T04:24:27.258Z",
"_id": "5c43f80483df230007485c48",
"Type": "Domains",
"Enrichment":
{
"Status": "done",
"LastUpdate": "2019-01-20T04:32:58.613Z",
"Data":
{
"domain_status_blocked": false,
"latest_resolution_date": "2019-01-20T04:27:22.299Z",
"associated_malware_ip_addresses": ["185.16.44.132"],
"contact_emails": [],
"referencing_file_hashes": [],
"malware_category": [],
"mail_servers": ["a.mx.domainoo.fr."],
"associated_malware_names": [],
"threat_actor_category": [],
"campaigns": [],
"associated_malware_families": [],
"resolved_ips": ["185.16.44.132"],
"cve_ids": [],
"downloaded_file_hashes": [],
"domain_expired": false,
"communicating_file_hashes": ["210c2ddbf747220df645fc4d77e7decd1be7df27e43b2f79e4b45bd5fe0a2a6e"],
"name_servers": ["a.ns.domainoo.fr.",
"b.ns.domainoo.fr.",
"c.ns.domainoo.fr."],
"registrar": "N/A",
"threat_actors": []
}
},
"FirstSeen": "2019-01-20T04:24:27.258Z",
"AccountID": null
},
"Entity": "sephoratv.com"
}]
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| Estado | Devuelve si existe en el resultado JSON. |
| Dominio | Devuelve si existe en el resultado JSON. |
| Gravedad | Devuelve si existe en el resultado JSON. |
| SourceID | Devuelve si existe en el resultado JSON. |
| Valor | Devuelve si existe en el resultado JSON. |
| Marcas | Devuelve si existe en el resultado JSON. |
| Vista por última vez | Devuelve si existe en el resultado JSON. |
| _id | Devuelve si existe en el resultado JSON. |
| Tipo | Devuelve si existe en el resultado JSON. |
| Enriquecimiento | Devuelve si existe en el resultado JSON. |
| Vista por primera vez | Devuelve si existe en el resultado JSON. |
| AccountID | Devuelve si existe en el resultado JSON. |
Estadísticas
Sí
Conectores
Conector de Intsights
Descripción
Recupera problemas de Intsights a Google SecOps.
Configura Insights Connector en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| DeviceProductField | String | Details_Source_NetworkType | Es el nombre del campo que se usa para determinar el producto del dispositivo. |
| EventClassId | String | Details_Title | Es el nombre del campo que se usa para determinar el nombre del evento (subtipo). |
| PythonProcessTimeout | String | 60 | Es el límite de tiempo de espera (en segundos) para el proceso de Python que ejecuta el script actual. |
| Raíz de la API | String | https://api.intsights.com | Es la raíz de la API del servidor de Intsights. |
| ID de la cuenta | String | N/A | Es el ID de la cuenta con la que se accederá. |
| Clave de API | Contraseña | N/A | Es la clave de API con la que se accede. |
| Verificar SSL | Casilla de verificación | Desmarcado | Indica si se debe verificar el certificado SSL del servidor. |
| Máx. de días hacia atrás | Número entero | 3 | Cantidad máxima de días hacia atrás desde los que se extraerán las alertas. |
| Cantidad máxima de alertas por ciclo | Número entero | 10 | Es la cantidad máxima de alertas que se recuperarán por ciclo de conector único. |
| Dirección del servidor proxy | String | N/A | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | Contraseña del proxy para la autenticación. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
Lista blanca/lista negra
El conector admite reglas de lista blanca y negra.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.