IntSights
통합 버전: 20.0
Google Security Operations에서 IntSights 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
작업
메모 추가
설명
IntSights의 알림에 메모를 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 ID | 문자열 | 해당 사항 없음 | 예 | 메모를 추가할 알림의 ID를 지정합니다. |
| 참고 | 문자열 | 해당 사항 없음 | 예 | 알림에 대한 메모를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우 (is_success=true): 'Intsights에서 ID가 '{0}'인 알림에 메모를 추가했습니다.'.format(alert id) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''메모 추가' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) 404 상태 코드가 보고된 경우: ''메모 추가' 작업을 실행하는 중에 오류가 발생했습니다. 이유: ID가 {alert id}인 알림이 IntSights에 없습니다.' |
일반 |
분석가에게 질문
설명
IntSights의 알림에 관해 분석가에게 문의합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 ID | 문자열 | 해당 사항 없음 | 예 | 분석가에게 질문할 알림의 ID를 지정합니다. |
| 댓글 | 문자열 | 해당 사항 없음 | 예 | 분석가에게 보낼 댓글을 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: 'Intsights에서 ID가 '{0}'인 알림의 분석가에게 질문했습니다.'.format(alert id) 400 또는 500 상태 코드가 보고된 경우: 'Intsights에서 ID가 {0}인 알림의 분석가에게 질문할 수 없습니다. 이유: {1}.'.format(alert_id, response string) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''분석가에게 질문하기' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
알림 할당
설명
IntSights에서 분석가에게 알림을 할당합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 ID | 문자열 | 해당 사항 없음 | 예 | 할당을 변경하려는 알림의 ID를 지정합니다. |
| 할당된 사용자 ID | 문자열 | 해당 사항 없음 | 아니요 | 알림에 할당할 분석가의 ID를 지정합니다. |
| 할당된 사용자의 이메일 주소 | 문자열 | 해당 사항 없음 | 아니요 | 알림에 할당할 분석가의 이메일 주소를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 할당자 ID가 있는 경우: 'Intsights에서 ID가 {1}인 알림에 ID가 '{0}'인 분석가를 할당했습니다.'.format(assignee id, alert id) 할당된 사용자의 이메일 주소가 있는 경우: 'Intsights에서 ID가 {1}인 알림에 이메일 주소가 '{0}'인 분석가를 할당했습니다.'.format(assignee email address, alert id) 담당자를 찾을 수 없고 상태 코드가 400이며 담당자 ID와 함께 작업한 경우: 'ID가 {0}인 알림의 할당을 변경할 수 없습니다. 이유: ID가 {1}인 담당자를 찾을 수 없습니다.".format(alert_id, assignee id)"
400 또는 500 상태 코드가 보고된 경우: 'ID가 {0}인 알림의 할당을 변경할 수 없습니다. 이유: {1}.'.format(alert_id, response) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''알림 할당' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace) 'Assignee ID' 및 'Assignee Email address' 매개변수가 지정되지 않은 경우: 'Assignee ID or Email Address should be specified.'(담당자 ID 또는 이메일 주소를 지정해야 합니다.) |
일반 |
알림 닫기
설명
IntSights에서 알림을 닫습니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 ID | 문자열 | 해당 사항 없음 | 예 | 종료하려는 알림의 ID를 지정합니다. |
| 이유 | DDL | 문제가 해결됨 가능한 값은 다음과 같습니다.
|
예 | 알림을 닫아야 하는 이유를 지정합니다. |
| 추가 정보 | 문자열 | 해당 사항 없음 | 아니요 | 알림을 닫아야 하는 이유를 설명하는 추가 정보를 지정합니다. |
| 비율 | 정수 | 5 | 아니요 | 알림의 등급을 지정합니다. 최댓값은 5입니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: 'Intsights에서 ID가 '{0}'인 알림을 종료했습니다.'.format(alert id) 400 상태 코드가 보고된 경우: 'Intsights에서 ID가 {0}인 알림을 종료할 수 없습니다. 이유: {1}.'.format(alert_id, response string) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''알림 닫기' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace) 'Rate' 매개변수가 1~5 범위에 있지 않은 경우: 'Rate value should be in range from 1 to 5.'(평점 값은 1~5 범위에 있어야 합니다.) |
일반 |
알림 CSV 다운로드
설명
IntSights의 알림과 관련된 정보가 포함된 CSV 파일을 다운로드합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 ID | 문자열 | 해당 사항 없음 | 예 | CSV를 다운로드할 알림의 ID를 지정합니다. |
| 다운로드 폴더 경로 | 문자열 | 해당 사항 없음 | 예 | CSV 파일을 저장할 폴더의 경로를 지정합니다. |
| 덮어쓰기 | 체크박스 | 해당 사항 없음 | 아니요 | 사용 설정하면 작업에서 같은 이름의 파일을 덮어씁니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"absolute_paths": ["/opt/file_1"]
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나 이상의 CSV가 성공한 경우 (is_success=true): 'Intsights에서 ID가 {0}인 알림의 CSV를 다운로드했습니다.'.format(alert_id) 400 상태 코드가 보고된 경우 (is_success=true): 'Intsights에서 ID가 {alert_id}인 알림에 대한 CSV 정보를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''알림 CSV 다운로드' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) 같은 이름의 파일이 이미 있지만 '덮어쓰기'가 false로 설정된 경우: ''알림 CSV 다운로드' 작업 실행 중에 오류가 발생했습니다. 이유: 경로 {0}에 파일이 이미 있습니다. 파일을 삭제하거나 '덮어쓰기'를 true로 설정하세요.' 404 상태 코드가 보고된 경우: ''알림 CSV 다운로드' 작업을 실행하는 중에 오류가 발생했습니다. 이유: ID가 {ID}인 알림을 찾을 수 없음' |
일반 |
알림 이미지 가져오기
설명
IntSights의 알림 이미지에 관한 정보를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 이미지 ID | CSV | 해당 사항 없음 | 예 | 쉼표로 구분된 알림 이미지 ID 목록을 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[
{
"image_name": "5b59daf4bdafd90xxxxxx",
"image_base64_content": "image content in base64"
}
]
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나 이상의 이미지에 성공한 경우: 'Intsights에서 다음 ID의 이미지를 가져왔습니다.'.format(ID 목록) 하나 이상의 이미지에 대해 성공하지 못한 경우: '작업이 Intsights에서 다음 ID의 이미지를 가져올 수 없습니다.\n'.format(ID 목록) 일부 이미지에 대해 성공하지 못한 경우: '이미지를 가져오지 못했습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''알림 이미지 가져오기' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
핑
설명
연결을 검사합니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 URL 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
알림 다시 열기
설명
IntSights에서 알림을 다시 엽니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 ID | 문자열 | 해당 사항 없음 | 참 | 다시 열려는 알림의 ID를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: 'Intsights에서 ID가 '{0}'인 알림을 다시 열었습니다.'.format(alert id) 400 상태 코드가 보고된 경우: 'Intsights에서 ID가 {0}인 알림을 다시 열 수 없습니다. 이유: {1}.'.format(alert_id, response string) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''알림 다시 열기' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
IOC 검색
설명
사용하기 쉬운 단일 대시보드에서 모든 IOC를 정리하고 검색할 수 있습니다. 중앙 집중식 TIP 대시보드는 심각도 및 신뢰도 수준별로 IOC를 요약하므로 조직에 가장 큰 위험을 초래하는 악성 IOC를 쉽게 파악할 수 있습니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
[{
"EntityResult":
{
"Status": "Active",
"Domain": "sephoratv.com",
"Severity":
{
"Status": "done",
"LastUpdate": "2019-01-20T04:32:58.833Z",
"Features":
[{
"Score": 10, "Name": "base_intsights_multiple",
"Match": 1
},
{
"Score": 0,
"Name": "domain_associated_malware_names",
"Match": 0
},
{
"Score": 0,
"Name": "domain_associated_malware_ip_addresses",
"Match": 1
}],
"LastUpdateMessage": "",
"Value": "Low",
"Score": 20
},
"SourceID": "59e376681bb0800644e1368f",
"Value": "sephoratv.com",
"Flags": {"IsInAlexa": false},
"LastSeen": "2019-01-20T04:24:27.258Z",
"_id": "5c43f80483df230007485c48",
"Type": "Domains",
"Enrichment":
{
"Status": "done",
"LastUpdate": "2019-01-20T04:32:58.613Z",
"Data":
{
"domain_status_blocked": false,
"latest_resolution_date": "2019-01-20T04:27:22.299Z",
"associated_malware_ip_addresses": ["185.16.44.132"],
"contact_emails": [],
"referencing_file_hashes": [],
"malware_category": [],
"mail_servers": ["a.mx.domainoo.fr."],
"associated_malware_names": [],
"threat_actor_category": [],
"campaigns": [],
"associated_malware_families": [],
"resolved_ips": ["185.16.44.132"],
"cve_ids": [],
"downloaded_file_hashes": [],
"domain_expired": false,
"communicating_file_hashes": ["210c2ddbf747220df645fc4d77e7decd1be7df27e43b2f79e4b45bd5fe0a2a6e"],
"name_servers": ["a.ns.domainoo.fr.",
"b.ns.domainoo.fr.",
"c.ns.domainoo.fr."],
"registrar": "N/A",
"threat_actors": []
}
},
"FirstSeen": "2019-01-20T04:24:27.258Z",
"AccountID": null
},
"Entity": "sephoratv.com"
}]
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 상태 | JSON 결과에 존재하는 경우에 반환 |
| 도메인 | JSON 결과에 존재하는 경우에 반환 |
| 심각도 | JSON 결과에 존재하는 경우에 반환 |
| SourceID | JSON 결과에 존재하는 경우에 반환 |
| 값 | JSON 결과에 존재하는 경우에 반환 |
| 플래그 | JSON 결과에 존재하는 경우에 반환 |
| 최근 발생 | JSON 결과에 존재하는 경우에 반환 |
| _id | JSON 결과에 존재하는 경우에 반환 |
| 유형 | JSON 결과에 존재하는 경우에 반환 |
| 보강 | JSON 결과에 존재하는 경우에 반환 |
| 최초 발생 | JSON 결과에 존재하는 경우에 반환 |
| AccountID | JSON 결과에 존재하는 경우에 반환 |
통계
예
커넥터
Intsights 커넥터
설명
Intsights에서 Google SecOps로 문제를 가져옵니다.
Google SecOps에서 Insights 커넥터 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 파라미터 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| DeviceProductField | 문자열 | Details_Source_NetworkType | 기기 제품을 확인하는 데 사용되는 필드 이름입니다. |
| EventClassId | 문자열 | Details_Title | 이벤트 이름(하위 유형)을 결정하는 데 사용되는 필드 이름입니다. |
| PythonProcessTimeout | 문자열 | 60 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. |
| API 루트 | 문자열 | https://api.intsights.com | Intsights 서버의 API 루트입니다. |
| 계정 ID | 문자열 | 해당 사항 없음 | 로그인할 계정 ID입니다. |
| API 키 | 비밀번호 | 해당 사항 없음 | 로그인에 사용할 API 키입니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 서버의 SSL 인증서를 확인할지 여부입니다. |
| 최대 이전 일수 | 정수 | 3 | 알림을 가져올 이전 최대 일수입니다. |
| 주기당 최대 알림 수 | 정수 | 10 | 단일 커넥터 주기당 가져올 최대 알림 수입니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
허용 목록/차단 목록
커넥터에서 허용 목록/차단 목록 규칙을 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.