IntSights
Versão da integração: 20.0
Configurar a integração do IntSights no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Ações
Adicionar nota
Descrição
Adicione uma observação ao alerta no IntSights.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Código de alerta | String | N/A | Sim | Especifique o ID do alerta a que você quer adicionar uma observação. |
| Observação | String | N/A | Sim | Especifique a observação para o alerta. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido (is_success=true): "A observação foi adicionada ao alerta com ID '{0}' no Intsights ".format(alert id) A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Adicionar observação". Motivo: {0}''.format(error.Stacktrace) Se o código de status 404 for informado: "Erro ao executar a ação "Adicionar observação". Motivo: o alerta com o ID {alert id} não foi encontrado no IntSights." |
Geral |
Pergunte a um analista
Descrição
Pergunte a um analista sobre o alerta no IntSights.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Código de alerta | String | N/A | Sim | Especifique o ID do alerta em que você quer fazer a pergunta ao analista. |
| Comentário | String | N/A | Sim | Especifique o comentário para o analista. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a ação for bem-sucedida: "A pergunta ao analista no alerta com ID '{0}' no Intsights foi feita com sucesso ".format(alert id) Se o código de status 400 ou 500 for informado: "Não foi possível pedir ao analista no alerta com ID {0} no Intsights. Motivo: {1}.".format(alert_id, response string) A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Perguntar a um analista". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Atribuir alerta
Descrição
Atribua o alerta a um analista no IntSights.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Código de alerta | String | N/A | Sim | Especifique o ID do alerta em que você quer mudar a atribuição. |
| ID do usuário atribuído | String | N/A | Não | Especifique o ID do analista que deve ser atribuído ao alerta. |
| Endereço de e-mail do usuário atribuído | String | N/A | Não | Especifique o endereço de e-mail do analista que será atribuído ao alerta. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a atribuição for bem-sucedida com o ID do destinatário: "O analista com o ID '{0}' foi atribuído ao alerta com o ID {1} no Intsights ".format(assignee id, alert id) Se a atribuição for feita com sucesso usando o endereço de e-mail do destinatário: "O analista com o endereço de e-mail '{0}' foi atribuído ao alerta com ID {1} no Intsights ".format(endereço de e-mail do destinatário, ID do alerta) Se o destinatário não for encontrado, o código de status será 400 e funcionará com o ID do destinatário: "Não foi possível mudar a atribuição no alerta com ID {0}. Motivo: o destinatário com o ID {1} não foi encontrado.".format(alert_id, assignee id)"
Se o código de status 400 ou 500 for informado: "Não foi possível mudar a atribuição no alerta com ID {0}. Motivo: {1}.".format(alert_id, response) A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Atribuir alerta". Motivo: {0}''.format(error.Stacktrace) Se os parâmetros "ID do destinatário" e "Endereço de e-mail do destinatário" não forem especificados: "É necessário especificar o ID ou o endereço de e-mail do destinatário". |
Geral |
Fechar alerta
Descrição
Feche o alerta no IntSights.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Código de alerta | String | N/A | Sim | Especifique o ID do alerta que você quer fechar. |
| Motivo | DDL | Problema resolvido Valores possíveis:
|
Sim | Especifique o motivo do fechamento do alerta. |
| Informações adicionais | String | N/A | Não | Especifique outras informações explicando por que o alerta deve ser fechado. |
| Taxa | Número inteiro | 5 | Não | Especifique a classificação do alerta. O máximo é 5. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido: "O alerta com o ID '{0}' foi fechado no Intsights ".format(alert id) Se o código de status 400 for informado: "Não foi possível fechar o alerta com o ID {0} no Intsights. Motivo: {1}.".format(alert_id, response string) A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Fechar alerta". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Taxa" não estiver no intervalo de 1 a 5: "O valor da taxa precisa estar entre 1 e 5". |
Geral |
Baixar o CSV de alertas
Descrição
Baixe o arquivo CSV com informações relacionadas ao alerta no IntSights.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Código de alerta | String | N/A | Sim | Especifique o ID do alerta para o qual você quer baixar o CSV. |
| Caminho da pasta de download | String | N/A | Sim | Especifique o caminho da pasta em que você quer armazenar o arquivo CSV. |
| Substituir | Caixa de seleção | N/A | Não | Se ativada, a ação vai substituir o arquivo com o mesmo nome. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"absolute_paths": ["/opt/file_1"]
}
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o download for concluído para pelo menos um CSV (is_success=true): "O download do CSV do alerta com ID {0} no Intsights foi concluído:".format(alert_id) Se o código de status 400 for informado (is_success=true): "Nenhuma informação de CSV foi encontrada para o alerta com ID {alert_id} no Intsights." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema for informado: "Erro ao executar a ação "Download Alert CSV". Motivo: {0}''.format(error.Stacktrace) Se já existir um arquivo com o mesmo nome, mas "Substituir" estiver definido como "false": "Erro ao executar a ação "Fazer o download do CSV de alerta". Motivo: o arquivo com o caminho {0} já existe. Exclua o arquivo ou defina "Overwrite" como "true"." Se o código de status 404 for informado: "Erro ao executar a ação "Fazer o download do CSV de alertas". Motivo: não foi possível encontrar o alerta com o ID {ID}' |
Geral |
Receber imagem de alerta
Descrição
Recupera informações sobre imagens de alertas no IntSights.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| IDs de imagens de alerta | CSV | N/A | Sim | Especifique a lista separada por vírgulas de IDs de imagens de alerta. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"image_name": "5b59daf4bdafd90xxxxxx",
"image_base64_content": "image content in base64"
}
]
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido para pelo menos uma imagem: "As imagens foram recuperadas com sucesso dos seguintes IDs no Intsights:".format(list of ids) Se não for possível para pelo menos uma imagem: "Não foi possível recuperar imagens dos seguintes IDs no Intsights:\n".format(list of ids) Se não for possível para todas as imagens: "Nenhuma imagem foi recuperada". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Receber imagem de alerta". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Ping
Descrição
Verifique a conectividade.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada na entidade de URL.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Reabrir alerta
Descrição
Reabra o alerta no IntSights.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Código de alerta | String | N/A | Verdadeiro | Especifique o ID do alerta que você quer reabrir. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se for bem-sucedido: "O alerta com ID '{0}' foi reaberto no Intsights ".format(alert id) Se o código de status 400 for informado: "Não foi possível reabrir o alerta com o ID {0} no Intsights. Motivo: {1}.".format(alert_id, response string) A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Reabrir alerta". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Pesquisar IOCs
Descrição
Organize e pesquise todos os seus IOCs em um único painel fácil de usar. O painel centralizado da TIP resume os IOCs por gravidade e nível de confiança para que você entenda facilmente quais IOCs maliciosos representam o maior risco para sua organização.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[{
"EntityResult":
{
"Status": "Active",
"Domain": "sephoratv.com",
"Severity":
{
"Status": "done",
"LastUpdate": "2019-01-20T04:32:58.833Z",
"Features":
[{
"Score": 10, "Name": "base_intsights_multiple",
"Match": 1
},
{
"Score": 0,
"Name": "domain_associated_malware_names",
"Match": 0
},
{
"Score": 0,
"Name": "domain_associated_malware_ip_addresses",
"Match": 1
}],
"LastUpdateMessage": "",
"Value": "Low",
"Score": 20
},
"SourceID": "59e376681bb0800644e1368f",
"Value": "sephoratv.com",
"Flags": {"IsInAlexa": false},
"LastSeen": "2019-01-20T04:24:27.258Z",
"_id": "5c43f80483df230007485c48",
"Type": "Domains",
"Enrichment":
{
"Status": "done",
"LastUpdate": "2019-01-20T04:32:58.613Z",
"Data":
{
"domain_status_blocked": false,
"latest_resolution_date": "2019-01-20T04:27:22.299Z",
"associated_malware_ip_addresses": ["185.16.44.132"],
"contact_emails": [],
"referencing_file_hashes": [],
"malware_category": [],
"mail_servers": ["a.mx.domainoo.fr."],
"associated_malware_names": [],
"threat_actor_category": [],
"campaigns": [],
"associated_malware_families": [],
"resolved_ips": ["185.16.44.132"],
"cve_ids": [],
"downloaded_file_hashes": [],
"domain_expired": false,
"communicating_file_hashes": ["210c2ddbf747220df645fc4d77e7decd1be7df27e43b2f79e4b45bd5fe0a2a6e"],
"name_servers": ["a.ns.domainoo.fr.",
"b.ns.domainoo.fr.",
"c.ns.domainoo.fr."],
"registrar": "N/A",
"threat_actors": []
}
},
"FirstSeen": "2019-01-20T04:24:27.258Z",
"AccountID": null
},
"Entity": "sephoratv.com"
}]
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Status | Retorna se ele existe no resultado JSON |
| Domínio | Retorna se ele existe no resultado JSON |
| Gravidade | Retorna se ele existe no resultado JSON |
| SourceID | Retorna se ele existe no resultado JSON |
| Valor | Retorna se ele existe no resultado JSON |
| Sinalizações | Retorna se ele existe no resultado JSON |
| Visto pela última vez | Retorna se ele existe no resultado JSON |
| _id | Retorna se ele existe no resultado JSON |
| Tipo | Retorna se ele existe no resultado JSON |
| Aprimoramento | Retorna se ele existe no resultado JSON |
| Visto pela primeira vez | Retorna se ele existe no resultado JSON |
| AccountID | Retorna se ele existe no resultado JSON |
Insights
Sim
Conectores
Conector do Intsights
Descrição
Busca problemas do Intsights para o Google SecOps.
Configurar o conector de insights no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome do parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| DeviceProductField | String | Details_Source_NetworkType | O nome do campo usado para determinar o produto do dispositivo. |
| EventClassId | String | Details_Title | O nome do campo usado para determinar o nome do evento (subtipo). |
| PythonProcessTimeout | String | 60 | O limite de tempo (em segundos) para o processo Python que executa o script atual. |
| Raiz da API | String | https://api.intsights.com | A raiz da API do servidor Intsights. |
| ID da conta | String | N/A | O ID da conta para fazer login. |
| Chave da API | Senha | N/A | A chave de API para fazer login. |
| Verificar SSL | Caixa de seleção | Desmarcado | Se o certificado SSL do servidor será verificado. |
| Número máximo de dias para retroceder | Número inteiro | 3 | Número máximo de dias para buscar alertas. |
| Máximo de alertas por ciclo | Número inteiro | 10 | Número máximo de alertas a serem buscados por ciclo de conector único. |
| Endereço do servidor proxy | String | N/A | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | A senha do proxy para autenticação. |
Regras de conector
Suporte a proxy
O conector é compatível com proxy.
Lista de permissões/lista de proibições
O conector é compatível com regras de lista de permissões/lista negra.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.