ObserveIT

集成版本:4.0

使用场景

提取 ObserveIT 提醒,并使用这些提醒创建 Google Security Operations 提醒。 接下来,在 Google SecOps 中,可以使用提醒通过 playbook 或手动分析来执行编排。

生成客户端 ID 和客户端密钥

  1. 前往 https://:/v2/apps/portal/home.html?#creds.
  2. 按“+ 创建应用”按钮
  3. 填写“应用名称”参数。

    创建应用对话框

  4. 按“保存”。

  5. 您会看到一个新的 ObserveIT 应用。按一下该按钮,您会看到此窗口。

    创建了包含客户端 ID 和客户端密钥值的应用详情

  6. 复制“客户端 ID”和“客户端密钥”。

  7. 在集成配置中使用这些值。

在 Google SecOps 中配置 ObserveIT 集成

有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成

集成参数

使用以下参数配置集成:

参数显示名称 类型 默认值 为必需参数 说明
API 根 字符串 https://<地址>:<端口> ObserveIT API 根地址。
客户端 ID 字符串 不适用 ObserveIT 应用的客户端 ID。
客户端密钥 密码 不适用 ObserveIT 应用的客户端密钥。
Use SSL(使用 SSL) 复选框 勾选 用于启用 SSL/TLS 连接的选项

操作

Ping

说明

使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 ObserveIT 的连接。

参数

不适用

剧本使用场景示例

此操作用于在 Google Security Operations Marketplace 标签页的集成配置页面上测试连接,可以作为手动操作执行,但不能在 playbook 中使用。

运行于

该操作不会在实体上运行,也没有强制性输入参数。

操作执行结果

实体扩充

不适用

数据分析

不适用

脚本结果
脚本结果名称 值选项 示例
is_success True/False is_success:False
JSON 结果
N/A

连接器

ObserveIT - Alerts 连接器

说明

从 ObserveIT 中提取提醒。

在 Google SecOps 中配置 ObserveIT - 提醒连接器

有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器

连接器参数

使用以下参数配置连接器:

参数显示名称 类型 默认值 为必需参数 说明
商品字段名称 字符串 产品名称 输入源字段名称,以便检索产品字段名称。
事件字段名称 字符串 eventType 输入源字段名称,以便检索事件字段名称。
环境字段名称 字符串 ""

描述存储环境名称的字段的名称。

如果找不到环境字段,则环境为默认环境。

环境正则表达式模式 字符串 .*

要对“环境字段名称”字段中找到的值运行的正则表达式模式。

默认值为 .*,用于捕获所有内容并返回未更改的值。

用于允许用户通过正则表达式逻辑来操纵环境字段。

如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。

脚本超时(秒) 整数 180 运行当前脚本的 Python 进程的超时时间限制。
API 根 字符串 https://x.x.x.x:x ObserveIT 服务器的 API 根。
客户端 ID 字符串 不适用 ObserveIT 应用的客户端 ID。
客户端密钥 密码 ObserveIT 应用的客户端密钥。
要提取的最低严重程度 字符串

用于提取提醒的最低严重程度。

可能的值:

严重

提取回溯的小时数上限 整数 1 提取提醒的小时数。
要提取的提醒数量上限 整数 25 每次连接器迭代要处理的提醒数量。
将白名单用作黑名单 复选框 尚未核查 如果启用,白名单将用作黑名单。
Use SSL(使用 SSL) 复选框 勾选 用于启用 SSL/TLS 连接的选项
代理服务器地址 字符串 要使用的代理服务器的地址。
代理用户名 字符串 用于进行身份验证的代理用户名。
代理密码 密码 用于进行身份验证的代理密码。

连接器规则

代理支持

连接器支持代理。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。