IntSights

Versi integrasi: 20.0

Mengonfigurasi integrasi IntSights di Google Security Operations

Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Tindakan

Tambahkan Catatan

Deskripsi

Tambahkan catatan ke pemberitahuan di IntSights.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID pemberitahuan String T/A Ya Tentukan ID pemberitahuan yang ingin Anda tambahi catatan.
Catatan String T/A Ya Tentukan catatan untuk pemberitahuan.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil (is_success=true): "Successfully add a note to the alert with ID '{0}' in Intsights ".format(alert id)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau lainnya dilaporkan: "Error saat menjalankan tindakan "Tambahkan Catatan". Alasan: {0}''.format(error.Stacktrace)

Jika kode status 404 dilaporkan: "Error saat menjalankan tindakan "Tambahkan Catatan". Alasan: pemberitahuan dengan ID {alert id} tidak ditemukan di IntSights.'

 Umum

Tanya Analis

Deskripsi

Tanyakan kepada analis terkait pemberitahuan di IntSights.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID pemberitahuan String T/A Ya Tentukan ID pemberitahuan tempat Anda ingin mengajukan pertanyaan kepada analis.
Komentar String T/A Ya Tentukan komentar untuk analis.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil: "Successfully asked analyst in the alert with ID '{0}' in Intsights ".format(alert id)

Jika kode status 400 atau 500 dilaporkan: "Tindakan tidak dapat meminta analis dalam pemberitahuan dengan ID {0} di Intsights. Alasan: {1}.".format(alert_id, response string)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Tanya Analis". Alasan: {0}''.format(error.Stacktrace)

 Umum

Menetapkan Pemberitahuan

Deskripsi

Menetapkan pemberitahuan kepada analis di IntSights.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID pemberitahuan String T/A Ya Tentukan ID pemberitahuan yang ingin Anda ubah penugasannya.
ID Penerima Tugas String T/A Tidak

Tentukan ID analis yang harus ditetapkan untuk pemberitahuan.
Catatan: Jika "ID Penerima Tugas" dan "Alamat Email Penerima Tugas" ditentukan, tindakan akan memprioritaskan "ID Penerima Tugas".
Alamat Email Penerima Tugas String T/A Tidak

Tentukan alamat email analis yang harus ditetapkan ke pemberitahuan.
Catatan: Jika "ID Penerima Tugas" dan "Alamat Email Penerima Tugas" ditentukan, tindakan akan memprioritaskan "ID Penerima Tugas".

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil dengan ID penerima tugas: "Berhasil menetapkan analis dengan ID '{0}' ke pemberitahuan dengan ID {1} di Intsights ".format(assignee id, alert id)

Jika berhasil dengan alamat email penerima tugas: "Berhasil menetapkan analis dengan alamat email '{0}' ke pemberitahuan dengan ID {1} di Intsights ".format(alamat email penerima tugas, ID pemberitahuan)

Jika penerima tugas tidak ditemukan, kode statusnya adalah 400, dan berfungsi dengan ID penerima tugas:

"Tindakan tidak dapat mengubah tugas pada pemberitahuan dengan ID {0}. Alasan: Penerima tugas dengan ID {1} tidak ditemukan.".format(alert_id, assignee id)"


Jika penerima tugas tidak ditemukan, kode statusnya adalah 400, dan alamat email penerima tugas yang digunakan: "Tindakan tidak dapat mengubah penugasan pada pemberitahuan dengan ID {0}. Alasan: Penerima tugas dengan alamat email {1} tidak ditemukan.format(alert_id, email address)"

Jika kode status 400 atau 500 dilaporkan: "Tindakan tidak dapat mengubah penetapan pada pemberitahuan dengan ID {0}. Alasan: {1}.".format(alert_id, response)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Tetapkan Pemberitahuan". Alasan: {0}''.format(error.Stacktrace)

Jika parameter "ID Penerima Tugas" dan "Alamat Email Penerima Tugas" tidak ditentukan: "ID atau Alamat Email Penerima Tugas harus ditentukan."

 Umum

Tutup Pemberitahuan

Deskripsi

Tutup pemberitahuan di IntSights.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID pemberitahuan String T/A Ya Tentukan ID pemberitahuan yang ingin Anda tutup.
Alasan DDL

Masalah Teratasi

Nilai yang Mungkin:

  • Masalah Teratasi
  • Khusus Informasi
  • Masalah yang Kami Ketahui
  • Domain Milik Perusahaan
  • Aplikasi/Profil yang Sah
  • Tidak Terkait dengan Perusahaan Saya
  • Positif Palsu
  • Lainnya
 Ya Tentukan alasan mengapa pemberitahuan harus ditutup.
Info Tambahan String T/A Tidak Tentukan informasi tambahan yang menjelaskan alasan peringatan harus ditutup.
Rate Bilangan bulat 5 Tidak Tentukan rating pemberitahuan. Maksimumnya adalah 5.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil: "Successfully closed the alert with ID '{0}' in Intsights ".format(alert id)

Jika kode status 400 dilaporkan: "Tindakan tidak dapat menutup pemberitahuan dengan ID {0} di Intsights. Alasan: {1}.".format(alert_id, response string)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Tutup Pemberitahuan". Alasan: {0}''.format(error.Stacktrace)

Jika parameter "Rate" tidak berada dalam rentang 1-5: "Nilai tarif harus berada dalam rentang 1 hingga 5."

 Umum

Download CSV Pemberitahuan

Deskripsi

Download file CSV yang berisi informasi terkait pemberitahuan di IntSights.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID pemberitahuan String T/A Ya Tentukan ID pemberitahuan yang CSV-nya ingin Anda download.
Jalur Folder Download String T/A Ya Tentukan jalur ke folder tempat Anda ingin menyimpan file CSV.
Timpa Kotak centang T/A Tidak Jika diaktifkan, tindakan akan menimpa file dengan nama yang sama.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
{
    "absolute_paths": ["/opt/file_1"]
}
Repositori Kasus
Jenis hasil Nilai/Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil untuk setidaknya satu CSV (is_success=true): "Successfully downloaded CSV for the alert with ID {0} in Intsights:".format(alert_id)

Jika kode status 400 dilaporkan (is_success=true): "Tidak ada informasi CSV yang ditemukan untuk pemberitahuan dengan ID {alert_id} di Intsights."

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan:

"Error saat menjalankan tindakan "Download CSV Pemberitahuan". Alasan: {0}''.format(error.Stacktrace)

Jika file dengan nama yang sama sudah ada, tetapi "Ganti" disetel ke salah (false): "Error saat menjalankan tindakan "Download CSV Pemberitahuan". Alasan: file dengan jalur {0} sudah ada. Hapus file atau tetapkan "Overwrite" ke benar."

Jika kode status 404 dilaporkan: "Error saat menjalankan tindakan "Download CSV Pemberitahuan". Alasan: Tidak dapat menemukan pemberitahuan dengan ID {ID}'

 Umum

Mendapatkan Gambar Pemberitahuan

Deskripsi

Mengambil informasi tentang gambar peringatan di IntSights.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID Gambar Notifikasi CSV T/A Ya

Tentukan daftar ID gambar pemberitahuan yang dipisahkan koma.
Contoh: id1,id2.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
[
  {
    "image_name": "5b59daf4bdafd90xxxxxx",
    "image_base64_content": "image content in base64"
  }
]
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil untuk setidaknya satu gambar: "Successfully retrieved images from the following IDs in Intsights:".format(list of ids)

Jika tidak berhasil untuk setidaknya satu gambar: "Tindakan tidak dapat mengambil gambar dari ID berikut di Intsights:\n".format(list of ids)

Jika tidak berhasil untuk semua gambar: "Tidak ada gambar yang diambil".

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Dapatkan Gambar Pemberitahuan". Alasan: {0}''.format(error.Stacktrace)

 Umum

Ping

Deskripsi

Periksa konektivitas.

Parameter

T/A

Kasus penggunaan

T/A

Run On

Tindakan ini dijalankan pada entity URL.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
N/A
Pengayaan Entity

T/A

Insight

T/A

Buka Kembali Pemberitahuan

Deskripsi

Membuka kembali pemberitahuan di IntSights.

Parameter

Nama Tampilan Parameter Jenis Nilai Default Wajib Deskripsi
ID pemberitahuan String T/A Benar Tentukan ID pemberitahuan yang ingin Anda buka kembali.

Run On

Tindakan ini tidak dijalankan di entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Repositori Kasus
Jenis Hasil Nilai / Deskripsi Jenis
Pesan output*

Tindakan tidak boleh gagal atau menghentikan eksekusi playbook:

Jika berhasil: "Berhasil membuka kembali pemberitahuan dengan ID '{0}' di Intsights ".format(ID pemberitahuan)

Jika kode status 400 dilaporkan: "Action was not able to reopen the alert with ID {0} in Intsights. Alasan: {1}.".format(alert_id, response string)

Tindakan akan gagal dan menghentikan eksekusi playbook:

Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Buka Kembali Pemberitahuan". Alasan: {0}''.format(error.Stacktrace)

 Umum

Menelusuri IOC

Deskripsi

Atur dan telusuri semua IOC Anda dalam satu dasbor yang mudah digunakan. Dasbor TIP terpusat merangkum IOC menurut tingkat keparahan dan tingkat keyakinan, sehingga Anda dapat dengan mudah memahami IOC berbahaya mana yang menimbulkan risiko terbesar bagi organisasi Anda.

Parameter

T/A

Kasus penggunaan

T/A

Run On

Tindakan ini dijalankan di semua entity.

Hasil Tindakan

Hasil Skrip
Nama Hasil Skrip Opsi Nilai Contoh
is_success Benar/Salah is_success:False
Hasil JSON
[{
   "EntityResult":
     {
        "Status": "Active",
        "Domain": "sephoratv.com",
        "Severity":
         {
           "Status": "done",
           "LastUpdate": "2019-01-20T04:32:58.833Z",
           "Features":
             [{
                 "Score": 10, "Name": "base_intsights_multiple",
                  "Match": 1
               },
               {
                  "Score": 0,
                  "Name": "domain_associated_malware_names",
                  "Match": 0
                },
               {
                  "Score": 0,
                  "Name": "domain_associated_malware_ip_addresses",
                  "Match": 1
              }],
           "LastUpdateMessage": "",
           "Value": "Low",
           "Score": 20
          },
        "SourceID": "59e376681bb0800644e1368f",
        "Value": "sephoratv.com",
        "Flags": {"IsInAlexa": false},
        "LastSeen": "2019-01-20T04:24:27.258Z",
        "_id": "5c43f80483df230007485c48",
        "Type": "Domains",
        "Enrichment":
         {
           "Status": "done",
           "LastUpdate": "2019-01-20T04:32:58.613Z",
           "Data":
               {
                  "domain_status_blocked": false,
                  "latest_resolution_date": "2019-01-20T04:27:22.299Z",
                  "associated_malware_ip_addresses": ["185.16.44.132"],
                  "contact_emails": [],
                  "referencing_file_hashes": [],
                  "malware_category": [],
                  "mail_servers": ["a.mx.domainoo.fr."],
                  "associated_malware_names": [],
                  "threat_actor_category": [],
                  "campaigns": [],
                  "associated_malware_families": [],
                  "resolved_ips": ["185.16.44.132"],
                  "cve_ids": [],
                  "downloaded_file_hashes": [],
                  "domain_expired": false,
                  "communicating_file_hashes": ["210c2ddbf747220df645fc4d77e7decd1be7df27e43b2f79e4b45bd5fe0a2a6e"],
                  "name_servers": ["a.ns.domainoo.fr.",
                                   "b.ns.domainoo.fr.",
                                   "c.ns.domainoo.fr."],
                  "registrar": "N/A",
                  "threat_actors": []
                }
           },
        "FirstSeen": "2019-01-20T04:24:27.258Z",
        "AccountID": null
    },
 "Entity": "sephoratv.com"
}]
Pengayaan Entity
Nama Kolom Pengayaan Logika - Kapan harus diterapkan
Status Menampilkan apakah ada di hasil JSON
Domain Menampilkan apakah ada di hasil JSON
Keparahan Menampilkan apakah ada di hasil JSON
SourceID Menampilkan apakah ada di hasil JSON
Nilai Menampilkan apakah ada di hasil JSON
Flag Menampilkan apakah ada di hasil JSON
Terakhir Terlihat Menampilkan apakah ada di hasil JSON
_id Menampilkan apakah ada di hasil JSON
Jenis Menampilkan apakah ada di hasil JSON
Pengayaan Menampilkan apakah ada di hasil JSON
Pertama Terlihat Menampilkan apakah ada di hasil JSON
AccountID Menampilkan apakah ada di hasil JSON
Insight

Ya

Konektor

Konektor Intsights

Deskripsi

Mengambil masalah dari Intsights ke Google SecOps.

Mengonfigurasi Konektor Insight di Google SecOps

Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama Parameter Jenis Nilai Default Deskripsi
DeviceProductField String Details_Source_NetworkType Nama kolom yang digunakan untuk menentukan produk perangkat.
EventClassId String Details_Title Nama kolom yang digunakan untuk menentukan nama peristiwa (sub-jenis).
PythonProcessTimeout String 60 Batas waktu tunggu (dalam detik) untuk proses python yang menjalankan skrip saat ini.
Root API String https://api.intsights.com Root API server Intsights.
ID Akun String T/A ID akun untuk login.
Kunci API Sandi T/A Kunci API untuk login.
Verifikasi SSL Kotak centang Tidak dicentang Apakah akan memverifikasi sertifikat SSL server.
Maksimum Hari Mundur Bilangan bulat 3 Jumlah maksimum hari ke belakang untuk menarik pemberitahuan.
Jumlah Maksimum Pemberitahuan Per Siklus Bilangan bulat 10 Jumlah maksimum pemberitahuan yang akan diambil per siklus konektor tunggal.
Alamat Server Proxy String T/A Alamat server proxy yang akan digunakan.
Nama Pengguna Proxy String T/A Nama pengguna proxy untuk melakukan autentikasi.
Sandi Proxy Sandi T/A Sandi proxy untuk mengautentikasi.

Aturan Konektor

Dukungan Proxy

Konektor mendukung proxy.

Daftar yang diizinkan/Daftar yang tidak diizinkan

Konektor mendukung aturan Daftar Putih/Daftar Hitam.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.