IntSights

Version de l'intégration : 20.0

Configurer l'intégration IntSights dans Google Security Operations

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Actions

Ajouter une note

Description

Ajoutez une note à l'alerte dans IntSights.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
ID d'alerte Chaîne N/A Oui Spécifiez l'ID de l'alerte à laquelle vous souhaitez ajouter une note.
Remarque Chaîne N/A Oui Spécifiez la note pour l'alerte.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit (is_success=true) : "Note ajoutée à l'alerte portant l'ID '{0}' dans Intsights".format(alert id)

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou autre) : "Erreur lors de l'exécution de l'action "Ajouter une note". Raison : {0}''.format(error.Stacktrace)

Si le code d'état 404 est signalé : "Erreur lors de l'exécution de l'action "Ajouter une note". Motif : l'alerte associée à l'ID {alert id} est introuvable dans IntSights.

 Général

Poser une question à un analyste

Description

Posez une question à un analyste concernant l'alerte dans IntSights.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
ID d'alerte Chaîne N/A Oui Spécifiez l'ID de l'alerte pour laquelle vous souhaitez poser une question à l'analyste.
Commentaire Chaîne N/A Oui Spécifiez le commentaire destiné à l'analyste.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

En cas de succès : "Demande envoyée à l'analyste pour l'alerte portant l'ID '{0}' dans Intsights".format(alert id)

Si le code d'état 400 ou 500 est signalé : "L'action n'a pas pu demander à l'analyste de l'alerte portant l'ID {0} dans Intsights. Raison : {1}.".format(alert_id, response string)

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Demander à un analyste". Raison : {0}''.format(error.Stacktrace)

 Général

Attribuer une alerte

Description

Attribuez une alerte à un analyste dans IntSights.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
ID d'alerte Chaîne N/A Oui Spécifiez l'ID de l'alerte pour laquelle vous souhaitez modifier l'attribution.
ID de l'attributaire Chaîne N/A Non

Spécifiez l'ID de l'analyste qui doit être attribué à l'alerte.
Remarque : Si vous spécifiez à la fois l'ID et l'adresse e-mail du responsable, l'action donnera la priorité à l'ID.
Adresse e-mail de la personne responsable Chaîne N/A Non

Spécifiez l'adresse e-mail de l'analyste à attribuer à l'alerte.
Remarque : Si vous spécifiez à la fois l'ID et l'adresse e-mail du responsable, l'action donnera la priorité à l'ID.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit avec l'ID de l'attributaire : "L'analyste portant l'ID '{0}' a bien été attribué à l'alerte portant l'ID {1} dans Intsights".format(assignee id, alert id)

Si l'opération réussit avec l'adresse e-mail de l'attributaire : "L'analyste avec l'adresse e-mail '{0}' a bien été attribué à l'alerte avec l'ID {1} dans Intsights".format(adresse e-mail de l'attributaire, ID de l'alerte)

Si le responsable est introuvable, le code d'état est 400 et l'ID du responsable est le suivant :

"L'action n'a pas pu modifier l'attribution de l'alerte portant l'ID {0}. Motif : L'utilisateur associé à l'ID {1} est introuvable.".format(alert_id, assignee id)"


Si l'utilisateur attribué n'est pas trouvé, le code d'état est 400 et l'adresse e-mail de l'utilisateur attribué est la suivante : "L'action n'a pas pu modifier l'attribution de l'alerte portant l'ID {0}. Motif : L'utilisateur associé à l'adresse e-mail {1} n'a pas été trouvé.format(alert_id, email address)"

Si le code d'état 400 ou 500 est signalé : "L'action n'a pas pu modifier l'attribution de l'alerte portant l'ID {0}. Reason: {1}.".format(alert_id, response)

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Attribuer une alerte". Raison : {0}''.format(error.Stacktrace)

Si les paramètres "ID de l'attributaire" et "Adresse e-mail de l'attributaire" ne sont pas spécifiés : "L'ID ou l'adresse e-mail de l'attributaire doivent être spécifiés."

 Général

Fermer l'alerte

Description

Fermez l'alerte dans IntSights.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
ID d'alerte Chaîne N/A Oui Spécifiez l'ID de l'alerte que vous souhaitez fermer.
Motif LDD

Problème résolu

Valeurs possibles :

  • Problème résolu
  • À titre d'information uniquement
  • Problème connu
  • Domaine appartenant à l'entreprise
  • Application/Profil légitime
  • Sans rapport avec mon entreprise
  • Faux positif
  • Autre
 Oui Indiquez pourquoi l'alerte doit être fermée.
Informations supplémentaires Chaîne N/A Non Indiquez des informations supplémentaires expliquant pourquoi l'alerte doit être clôturée.
Tarif Integer 5 Non Spécifiez le niveau de l'alerte. La valeur maximale est de 5.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

En cas de succès : "L'alerte portant l'ID '{0}' a bien été clôturée dans Intsights".format(alert id)

Si le code d'état 400 est signalé : "L'action n'a pas pu fermer l'alerte avec l'ID {0} dans Intsights. Raison : {1}.".format(alert_id, response string)

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Fermer l'alerte". Raison : {0}''.format(error.Stacktrace)

Si le paramètre "Tarif" n'est pas compris entre 1 et 5 : "La valeur du tarif doit être comprise entre 1 et 5."

 Général

Télécharger le fichier CSV des alertes

Description

Téléchargez un fichier CSV contenant des informations sur l'alerte dans IntSights.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
ID d'alerte Chaîne N/A Oui Spécifiez l'ID de l'alerte pour laquelle vous souhaitez télécharger le fichier CSV.
Chemin d'accès au dossier de téléchargement Chaîne N/A Oui Spécifiez le chemin d'accès au dossier dans lequel vous souhaitez stocker le fichier CSV.
Remplacer Case à cocher N/A Non Si cette option est activée, l'action écrasera le fichier portant le même nom.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
{
    "absolute_paths": ["/opt/file_1"]
}
Mur des cas
Type de résultat Valeur/Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si au moins un fichier CSV a été téléchargé (is_success=true) : "Fichier CSV téléchargé pour l'alerte avec l'ID {0} dans Intsights :".format(alert_id)

Si le code d'état 400 est signalé (is_success=true) : "Aucune information CSV n'a été trouvée pour l'alerte portant l'ID {alert_id} dans Intsights."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) :

"Erreur lors de l'exécution de l'action "Télécharger le fichier CSV des alertes". Raison : {0}''.format(error.Stacktrace)

Si un fichier portant le même nom existe déjà, mais que "Écraser" est défini sur "false" : "Erreur lors de l'exécution de l'action "Télécharger le fichier CSV des alertes". Motif : le fichier dont le chemin d'accès est {0} existe déjà. Veuillez supprimer le fichier ou définir "Overwrite" sur "true"."

Si le code d'état 404 est signalé : "Erreur lors de l'exécution de l'action "Télécharger le fichier CSV des alertes". Motif : Impossible de trouver l'alerte portant l'ID {ID}

 Général

Obtenir l'image de l'alerte

Description

Récupérez des informations sur les images d'alerte dans IntSights.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
ID des images d'alerte CSV N/A Oui

Spécifiez la liste des ID d'images d'alerte séparés par une virgule.
 Exemple : id1,id2.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
[
  {
    "image_name": "5b59daf4bdafd90xxxxxx",
    "image_base64_content": "image content in base64"
  }
]
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit pour au moins une image : "Images récupérées avec succès à partir des ID suivants dans Intsights :".format(list of ids)

Si l'opération n'a pas réussi pour au moins une image : "L'action n'a pas pu récupérer les images des ID suivants dans Intsights :\n".format(list of ids)

Si l'opération n'a pas fonctionné pour toutes les images : "Aucune image n'a été récupérée".

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Obtenir l'image de l'alerte". Raison : {0}''.format(error.Stacktrace)

 Général

Ping

Description

Vérifiez la connectivité.

Paramètres

N/A

Cas d'utilisation

N/A

Exécuter sur

Cette action s'exécute sur l'entité URL.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
N/A
Enrichissement d'entités

N/A

Insights

N/A

Rouvrir l'alerte

Description

Rouvrez l'alerte dans IntSights.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
ID d'alerte Chaîne N/A Vrai Spécifiez l'ID de l'alerte que vous souhaitez rouvrir.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit : "L'alerte portant l'ID '{0}' a bien été rouverte dans Intsights".format(alert id)

Si le code d'état 400 est signalé : "L'action n'a pas pu rouvrir l'alerte avec l'ID {0} dans Intsights. Raison : {1}.".format(alert_id, response string)

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Rouvrir l'alerte". Raison : {0}''.format(error.Stacktrace)

 Général

Rechercher des IOC

Description

Organisez et recherchez tous vos IOC dans un tableau de bord unique et facile à utiliser. Le tableau de bord TIP centralisé récapitule les IOC par niveau de gravité et de confiance. Vous pouvez ainsi identifier facilement les IOC malveillants qui présentent le plus grand risque pour votre organisation.

Paramètres

N/A

Cas d'utilisation

N/A

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
[{
   "EntityResult":
     {
        "Status": "Active",
        "Domain": "sephoratv.com",
        "Severity":
         {
           "Status": "done",
           "LastUpdate": "2019-01-20T04:32:58.833Z",
           "Features":
             [{
                 "Score": 10, "Name": "base_intsights_multiple",
                  "Match": 1
               },
               {
                  "Score": 0,
                  "Name": "domain_associated_malware_names",
                  "Match": 0
                },
               {
                  "Score": 0,
                  "Name": "domain_associated_malware_ip_addresses",
                  "Match": 1
              }],
           "LastUpdateMessage": "",
           "Value": "Low",
           "Score": 20
          },
        "SourceID": "59e376681bb0800644e1368f",
        "Value": "sephoratv.com",
        "Flags": {"IsInAlexa": false},
        "LastSeen": "2019-01-20T04:24:27.258Z",
        "_id": "5c43f80483df230007485c48",
        "Type": "Domains",
        "Enrichment":
         {
           "Status": "done",
           "LastUpdate": "2019-01-20T04:32:58.613Z",
           "Data":
               {
                  "domain_status_blocked": false,
                  "latest_resolution_date": "2019-01-20T04:27:22.299Z",
                  "associated_malware_ip_addresses": ["185.16.44.132"],
                  "contact_emails": [],
                  "referencing_file_hashes": [],
                  "malware_category": [],
                  "mail_servers": ["a.mx.domainoo.fr."],
                  "associated_malware_names": [],
                  "threat_actor_category": [],
                  "campaigns": [],
                  "associated_malware_families": [],
                  "resolved_ips": ["185.16.44.132"],
                  "cve_ids": [],
                  "downloaded_file_hashes": [],
                  "domain_expired": false,
                  "communicating_file_hashes": ["210c2ddbf747220df645fc4d77e7decd1be7df27e43b2f79e4b45bd5fe0a2a6e"],
                  "name_servers": ["a.ns.domainoo.fr.",
                                   "b.ns.domainoo.fr.",
                                   "c.ns.domainoo.fr."],
                  "registrar": "N/A",
                  "threat_actors": []
                }
           },
        "FirstSeen": "2019-01-20T04:24:27.258Z",
        "AccountID": null
    },
 "Entity": "sephoratv.com"
}]
Enrichissement d'entités
Nom du champ d'enrichissement Logique : quand les utiliser ?
État Renvoie la valeur si elle existe dans le résultat JSON.
Domaine Renvoie la valeur si elle existe dans le résultat JSON.
Gravité Renvoie la valeur si elle existe dans le résultat JSON.
SourceID Renvoie la valeur si elle existe dans le résultat JSON.
Valeur Renvoie la valeur si elle existe dans le résultat JSON.
Options Renvoie la valeur si elle existe dans le résultat JSON.
Dernière occurrence Renvoie la valeur si elle existe dans le résultat JSON.
_id Renvoie la valeur si elle existe dans le résultat JSON.
Type Renvoie la valeur si elle existe dans le résultat JSON.
Enrichissement Renvoie la valeur si elle existe dans le résultat JSON.
Première occurrence Renvoie la valeur si elle existe dans le résultat JSON.
AccountID Renvoie la valeur si elle existe dans le résultat JSON.
Insights

Oui

Connecteurs

Connecteur Intsights

Description

Récupère les problèmes d'Intsights vers Google SecOps.

Configurer le connecteur Insights dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom du paramètre Type Valeur par défaut Description
DeviceProductField Chaîne Details_Source_NetworkType Nom du champ utilisé pour déterminer le produit de l'appareil.
EventClassId Chaîne Details_Title Nom du champ utilisé pour déterminer le nom (sous-type) de l'événement.
PythonProcessTimeout Chaîne 60 Délai limite (en secondes) pour le processus Python exécutant le script actuel.
Racine de l'API Chaîne https://api.intsights.com Racine de l'API du serveur Intsights.
ID de compte Chaîne N/A ID du compte avec lequel se connecter.
Clé API Mot de passe N/A Clé API à utiliser pour se connecter.
Vérifier le protocole SSL Case à cocher Décochée Indique s'il faut valider le certificat SSL du serveur.
Nombre maximal de jours en arrière Integer 3 Nombre maximal de jours en arrière pour extraire les alertes.
Nombre maximal d'alertes par cycle Integer 10 Nombre maximal d'alertes à récupérer par cycle de connecteur.
Adresse du serveur proxy Chaîne N/A Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy Chaîne N/A Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy Mot de passe N/A Mot de passe du proxy pour l'authentification.

Règles du connecteur

Assistance de proxy

Le connecteur est compatible avec le proxy.

Liste blanche/Liste noire

Le connecteur est compatible avec les règles de liste blanche/noire.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.