IntSights

Versione integrazione: 20.0

Configurare l'integrazione di IntSights in Google Security Operations

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Azioni

Aggiungi nota

Descrizione

Aggiungi una nota all'avviso in IntSights.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID avviso Stringa N/D Specifica l'ID dell'avviso a cui vuoi aggiungere una nota.
Nota Stringa N/D Specifica la nota per l'avviso.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script
Nome del risultato dello script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine (is_success=true): "Successfully add a note to the alert with ID '{0}' in Intsights ".format(alert id)

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiungi nota". Motivo: {0}''.format(error.Stacktrace)

Se viene segnalato il codice di stato 404: "Errore durante l'esecuzione dell'azione "Aggiungi nota". Motivo: l'avviso con ID {alert id} non è stato trovato in IntSights.

 Generale

Chiedi a un analista

Descrizione

Chiedi a un analista informazioni sull'avviso in IntSights.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID avviso Stringa N/D Specifica l'ID dell'avviso in cui vuoi porre la domanda all'analista.
Commento Stringa N/D Specifica il commento per l'analista.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

In caso di esito positivo: "Successfully asked analyst in the alert with ID '{0}' in Intsights ".format(alert id)

Se viene segnalato il codice di stato 400 o 500: "L'azione non è riuscita a chiedere all'analista nell'avviso con ID {0} in Intsights. Motivo: {1}.".format(alert_id, response string)

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Chiedi a un analista". Motivo: {0}''.format(error.Stacktrace)

 Generale

Assegna avviso

Descrizione

Assegna l'avviso a un analista in IntSights.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID avviso Stringa N/D Specifica l'ID dell'avviso per il quale vuoi modificare l'assegnazione.
ID assegnatario Stringa N/D No

Specifica l'ID dell'analista a cui deve essere assegnato l'avviso.
Nota: se vengono specificati sia "ID assegnatario" che "Indirizzo email assegnatario", l'azione darà la priorità a "ID assegnatario".
Indirizzo email dell'assegnatario Stringa N/D No

Specifica l'indirizzo email dell'analista a cui deve essere assegnato l'avviso.
Nota: se vengono specificati sia "ID assegnatario" che "Indirizzo email assegnatario", l'azione darà la priorità a "ID assegnatario".

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione ha esito positivo con l'ID assegnatario: "Successfully assigned analyst with ID '{0}' to the alert with ID {1} in Intsights ".format(assignee id, alert id)

Se l'operazione va a buon fine con l'indirizzo email dell'assegnatario: "Analista con indirizzo email "{0}" assegnato correttamente all'avviso con ID {1} in Intsights".format(assignee email address, alert id)

Se l'assegnatario non viene trovato, il codice di stato è 400 e ha funzionato con l'ID assegnatario:

"L'azione non è riuscita a modificare l'assegnazione dell'avviso con ID {0}. Motivo: impossibile trovare l'assegnatario con ID {1}.".format(alert_id, assignee id)"


Se l'assegnatario non viene trovato, il codice di stato è 400 e l'operazione è stata eseguita con l'indirizzo email dell'assegnatario: "L'azione non è riuscita a modificare l'assegnazione dell'avviso con ID {0}. Motivo: non è stato trovato l'assegnatario con indirizzo email {1}.format(alert_id, email address)"

Se viene segnalato il codice di stato 400 o 500: "L'azione non è riuscita a modificare l'assegnazione dell'avviso con ID {0}. Motivo: {1}.".format(alert_id, response)

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Assegna avviso". Motivo: {0}''.format(error.Stacktrace)

Se i parametri "ID assegnatario" e "Indirizzo email assegnatario" non sono specificati: "È necessario specificare l'ID o l'indirizzo email dell'assegnatario".

 Generale

Chiudi avviso

Descrizione

Chiudi l'avviso in IntSights.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID avviso Stringa N/D Specifica l'ID dell'avviso che vuoi chiudere.
Motivo DDL

Problema risolto

Valori possibili:

  • Problema risolto
  • Solo a scopo informativo
  • Problema di cui siamo a conoscenza
  • Dominio di proprietà dell'azienda
  • Applicazione/profilo legittimo
  • Non correlato alla mia azienda
  • Falso positivo
  • Altro
 Specifica il motivo per cui l'avviso deve essere chiuso.
Informazioni aggiuntive Stringa N/D No Specifica informazioni aggiuntive che spieghino perché l'avviso deve essere chiuso.
Tariffa Numero intero 5 No Specifica la classificazione dell'avviso. Il valore massimo è 5.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine: "Avviso con ID "{0}" chiuso correttamente in Intsights".format(alert id)

Se viene segnalato il codice di stato 400: "L'azione non è riuscita a chiudere l'avviso con ID {0} in Intsights. Motivo: {1}.".format(alert_id, response string)

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Chiudi avviso". Motivo: {0}''.format(error.Stacktrace)

Se il parametro "Rate" non rientra nell'intervallo 1-5: "Il valore della tariffa deve essere compreso tra 1 e 5".

 Generale

Scarica CSV avviso

Descrizione

Scarica il file CSV contenente le informazioni relative all'avviso in IntSights.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID avviso Stringa N/D Specifica l'ID dell'avviso per il quale vuoi scaricare il file CSV.
Percorso cartella di download Stringa N/D Specifica il percorso della cartella in cui vuoi archiviare il file CSV.
Sovrascrivi Casella di controllo N/D No Se attivata, l'azione sovrascriverà il file con lo stesso nome.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
{
    "absolute_paths": ["/opt/file_1"]
}
Bacheca casi
Tipo di risultato Valore/Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione va a buon fine per almeno un file CSV (is_success=true): "Successfully downloaded CSV for the alert with ID {0} in Intsights:".format(alert_id)

Se viene segnalato il codice di stato 400 (is_success=true): "No CSV information was found for the alert with ID {alert_id} in Intsights."

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro:

"Errore durante l'esecuzione dell'azione "Scarica CSV avviso". Motivo: {0}''.format(error.Stacktrace)

Se esiste già un file con lo stesso nome, ma "Sovrascrivi" è impostato su false: "Errore durante l'esecuzione dell'azione "Scarica avviso CSV". Motivo: il file con percorso {0} esiste già. Elimina il file o imposta "Sovrascrivi" su true."

Se viene segnalato il codice di stato 404: "Errore durante l'esecuzione dell'azione "Scarica CSV avviso". Motivo: impossibile trovare l'avviso con ID {ID}'

 Generale

Recupera immagine avviso

Descrizione

Recupera informazioni sulle immagini degli avvisi in IntSights.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID immagini avviso CSV N/D

Specifica l'elenco separato da virgole degli ID immagine degli avvisi.
Esempio: id1,id2.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[
  {
    "image_name": "5b59daf4bdafd90xxxxxx",
    "image_base64_content": "image content in base64"
  }
]
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

Se l'operazione è riuscita per almeno un'immagine: "Recupero delle immagini riuscito dai seguenti ID in Intsights:".format(list of ids)

Se l'operazione non è riuscita per almeno un'immagine: "L'azione non è riuscita a recuperare le immagini dai seguenti ID in Intsights:\n".format(list of ids)

Se l'operazione non va a buon fine per tutte le immagini: "Nessuna immagine recuperata".

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Recupera immagine avviso". Motivo: {0}''.format(error.Stacktrace)

 Generale

Dindin

Descrizione

Controlla la connettività.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita sull'entità URL.

Risultati dell'azione

Risultato script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
N/A
Arricchimento delle entità

N/D

Approfondimenti

N/D

Riapri avviso

Descrizione

Riapri l'avviso in IntSights.

Parametri

Nome visualizzato del parametro Tipo Valore predefinito È obbligatorio Descrizione
ID avviso Stringa N/D Vero Specifica l'ID dell'avviso che vuoi riaprire.

Run On

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Bacheca casi
Tipo di risultato Valore / Descrizione Tipo
Messaggio di output*

L'azione non deve non riuscire né interrompere l'esecuzione di un playbook:

In caso di esito positivo: "Successfully reopened the alert with ID '{0}' in Intsights ".format(alert id)

Se viene segnalato il codice di stato 400: "L'azione non è riuscita a riaprire l'avviso con ID {0} in Intsights. Motivo: {1}.".format(alert_id, response string)

L'azione deve non riuscire e interrompere l'esecuzione di un playbook:

Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Riapri avviso". Motivo: {0}''.format(error.Stacktrace)

 Generale

Cerca IOC

Descrizione

Organizza e cerca tutti gli indicatori di compromissione in un'unica dashboard facile da usare. La dashboard TIP centralizzata riepiloga gli IOC in base al livello di gravità e affidabilità, in modo da poter capire facilmente quali IOC dannosi rappresentano il rischio maggiore per la tua organizzazione.

Parametri

N/D

Casi d'uso

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato script
Nome risultato script Opzioni di valore Esempio
is_success Vero/Falso is_success:False
Risultato JSON
[{
   "EntityResult":
     {
        "Status": "Active",
        "Domain": "sephoratv.com",
        "Severity":
         {
           "Status": "done",
           "LastUpdate": "2019-01-20T04:32:58.833Z",
           "Features":
             [{
                 "Score": 10, "Name": "base_intsights_multiple",
                  "Match": 1
               },
               {
                  "Score": 0,
                  "Name": "domain_associated_malware_names",
                  "Match": 0
                },
               {
                  "Score": 0,
                  "Name": "domain_associated_malware_ip_addresses",
                  "Match": 1
              }],
           "LastUpdateMessage": "",
           "Value": "Low",
           "Score": 20
          },
        "SourceID": "59e376681bb0800644e1368f",
        "Value": "sephoratv.com",
        "Flags": {"IsInAlexa": false},
        "LastSeen": "2019-01-20T04:24:27.258Z",
        "_id": "5c43f80483df230007485c48",
        "Type": "Domains",
        "Enrichment":
         {
           "Status": "done",
           "LastUpdate": "2019-01-20T04:32:58.613Z",
           "Data":
               {
                  "domain_status_blocked": false,
                  "latest_resolution_date": "2019-01-20T04:27:22.299Z",
                  "associated_malware_ip_addresses": ["185.16.44.132"],
                  "contact_emails": [],
                  "referencing_file_hashes": [],
                  "malware_category": [],
                  "mail_servers": ["a.mx.domainoo.fr."],
                  "associated_malware_names": [],
                  "threat_actor_category": [],
                  "campaigns": [],
                  "associated_malware_families": [],
                  "resolved_ips": ["185.16.44.132"],
                  "cve_ids": [],
                  "downloaded_file_hashes": [],
                  "domain_expired": false,
                  "communicating_file_hashes": ["210c2ddbf747220df645fc4d77e7decd1be7df27e43b2f79e4b45bd5fe0a2a6e"],
                  "name_servers": ["a.ns.domainoo.fr.",
                                   "b.ns.domainoo.fr.",
                                   "c.ns.domainoo.fr."],
                  "registrar": "N/A",
                  "threat_actors": []
                }
           },
        "FirstSeen": "2019-01-20T04:24:27.258Z",
        "AccountID": null
    },
 "Entity": "sephoratv.com"
}]
Arricchimento delle entità
Nome campo di arricchimento Logica - Quando applicarla
Stato Restituisce se esiste nel risultato JSON
Dominio Restituisce se esiste nel risultato JSON
Gravità Restituisce se esiste nel risultato JSON
SourceID Restituisce se esiste nel risultato JSON
Valore Restituisce se esiste nel risultato JSON
Bandiere Restituisce se esiste nel risultato JSON
Ultima visualizzazione Restituisce se esiste nel risultato JSON
_id Restituisce se esiste nel risultato JSON
Tipo Restituisce se esiste nel risultato JSON
Arricchimento Restituisce se esiste nel risultato JSON
Prima visualizzazione Restituisce se esiste nel risultato JSON
AccountID Restituisce se esiste nel risultato JSON
Approfondimenti

Connettori

Connettore Intsights

Descrizione

Recupera i problemi da Intsights a Google SecOps.

Configura Insights Connector in Google SecOps

Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.

Parametri del connettore

Utilizza i seguenti parametri per configurare il connettore:

Nome parametro Tipo Valore predefinito Descrizione
DeviceProductField Stringa Details_Source_NetworkType Il nome del campo utilizzato per determinare il prodotto del dispositivo.
EventClassId Stringa Details_Title Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo).
PythonProcessTimeout Stringa 60 Il limite di timeout (in secondi) per il processo Python che esegue lo script corrente.
Radice API Stringa https://api.intsights.com La radice API del server Intsights.
ID account Stringa N/D L'ID account con cui accedere.
Chiave API Password N/D La chiave API con cui accedere.
Verifica SSL Casella di controllo Deselezionata Se verificare il certificato SSL del server.
Max Days Backwards Numero intero 3 Il numero massimo di giorni precedenti da cui recuperare gli avvisi.
Numero massimo di avvisi per ciclo Numero intero 10 Il numero massimo di avvisi da recuperare per ogni ciclo del connettore.
Indirizzo del server proxy Stringa N/D L'indirizzo del server proxy da utilizzare.
Nome utente proxy Stringa N/D Il nome utente del proxy con cui eseguire l'autenticazione.
Password proxy Password N/D La password del proxy per l'autenticazione.

Regole del connettore

Supporto proxy

Il connettore supporta il proxy.

Whitelist/Blacklist

Il connettore supporta le regole di autorizzazione/esclusione.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.