本頁面由 Cloud Translation API 翻譯而成。

Rapid7 InsightIDR

整合版本：7.0

應用實例

使用 InsightIDR 資料，豐富處理過的 Google Security Operations 警告。

在 Google SecOps 中設定 Rapid7 InsightIDR 整合

如需在 Google SecOps 中設定整合功能的詳細操作說明，請參閱「設定整合功能」。

整合參數

請使用下列參數設定整合：

參數顯示名稱	類型	預設值	為必填項目	說明
API 根層級	字串	https://[region].api.insight.rapid7.com	是	指定要用於連線的 API 根目錄。
API 金鑰	密碼	不適用	是	指定用於連線的 API 金鑰。
驗證 SSL	核取方塊	已勾選	否	指定是否應驗證在 API 根層級設定的憑證。

動作

乒乓

說明

使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數，測試與 Rapid7 InsightIDR 服務的連線。

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項
is_success	is_success=False
is_success	is_success=True

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功：列印「Successfully connected to the Rapid7 InsightIDR service with the provided connection parameters!」(已使用提供的連線參數成功連線至 Rapid7 InsightIDR 服務！) 動作應會失敗並停止執行應對手冊：如果發生重大錯誤，例如憑證錯誤或連線中斷：請列印「Failed to connect to the Rapid7 InsightIDR service! Error is {0}".format(exception.stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功：列印「Successfully connected to the Rapid7 InsightIDR service with the provided connection parameters!」(已使用提供的連線參數成功連線至 Rapid7 InsightIDR 服務！)

動作應會失敗並停止執行應對手冊：

如果發生重大錯誤，例如憑證錯誤或連線中斷：請列印「Failed to connect to the Rapid7 InsightIDR service! Error is {0}".format(exception.stacktrace)

一般

可列出調查

說明

根據指定的動作輸入參數，列出 Rapid7 InsightIDR 調查。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
時間範圍	整數	4	否	指定要擷取發現項目的時間範圍 (以小時為單位)。
記錄限制	整數	20	否	指定動作可傳回的記錄數。
包含已結案的調查？	核取方塊	已取消勾選	否	指定是否要在結果中納入已結案的調查。

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項
is_success	is_success=False
is_success	is_success=True

JSON 結果

{
    "data": [
        {
            "id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
            "title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
            "status": "OPEN",
            "source": "ALERT",
            "assignee": {
                "name": "Tip Labops",
                "email": "tip.labops@siemplify.co"
            },
            "alerts": [
                {
                    "type": "Malicious Hash On Asset",
                    "type_description": "A malicious hash was found on an asset.",
                    "first_event_time": "2020-12-02T13:16:14.197Z"
                }
            ],
            "created_time": "2020-12-02T13:18:16.758Z"
        },
    ]
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功：列印「Rapid7 InsightIDR investigations found」如果 is_success=False，例如找不到任何調查：print "No investigations were returned." 動作應會失敗並停止執行劇本：如果發生重大錯誤，例如憑證錯誤或連線中斷：請列印「Failed to connect to the Rapid7 InsightIDR service! Error is {0}".format(exception.stacktrace)	一般
CSV	表格名稱：Rapid7 InsightIDR Investigations 資料表資料欄：標題狀態來源指派對象 (Assignee.email) 快訊 (快訊類型值的 CSV 清單) 建立時間	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功：列印「Rapid7 InsightIDR investigations found」

如果 is_success=False，例如找不到任何調查：print "No investigations were returned."

動作應會失敗並停止執行劇本：
如果發生重大錯誤，例如憑證錯誤或連線中斷：請列印「Failed to connect to the Rapid7 InsightIDR service! Error is {0}".format(exception.stacktrace)

一般

CSV

表格名稱：Rapid7 InsightIDR Investigations

資料表資料欄：

標題

狀態

來源

指派對象 (Assignee.email)

快訊 (快訊類型值的 CSV 清單)

建立時間

一般

設定調查狀態

說明

為特定 Rapid7 InsightIDR 調查設定狀態。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
調查 ID	字串	不適用	是	要更新狀態的調查 ID。ID 應採用如下的格式：8ec8e324-4522-4a6e-9838-81496a0cadb0
狀態	DDL	Meet	是	調查的新狀態。

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項
is_success	is_success=False
is_success	is_success=True

JSON 結果

{
    "id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
    "title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
    "status": "CLOSED",
    "source": "ALERT",
    "assignee": {
        "name": "Tip Labops",
        "email": "tip.labops@siemplify.co"
    },
    "alerts": [
        {
            "type": "Malicious Hash On Asset",
            "type_description": "A malicious hash was found on an asset.",
            "first_event_time": "2020-12-02T13:16:14.197Z"
        }
    ],
    "created_time": "2020-12-02T13:18:16.758Z"
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功：print "Rapid7 InsightIDR Investigation {0} status changed to {1}".format(investigation_id, status) if is_success=False，例如找不到提供的 ID 相關調查：print "Failed to update Rapid7 InsightIDR investigation status. 錯誤為：{0}".format(error from response) 動作應會失敗並停止執行劇本：如果發生重大錯誤，例如憑證錯誤或連線中斷：請列印「Failed to connect to the Rapid7 InsightIDR service! Error is {0}".format(exception.stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功：print "Rapid7 InsightIDR Investigation {0} status changed to {1}".format(investigation_id, status)

if is_success=False，例如找不到提供的 ID 相關調查：print "Failed to update Rapid7 InsightIDR investigation status. 錯誤為：{0}".format(error from response)

一般

設定調查作業指派對象

說明

為特定 Rapid7 InsightIDR 調查設定指派對象。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
調查 ID	字串	不適用	是	要更新狀態的調查 ID。ID 格式應如 8ec8e324-4522-4a6e-9838-81496a0cadb0。
指派對象的電子郵件地址	字串	不適用	是	調查的新指派對象的電子郵件地址。

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項
is_success	is_success=False
is_success	is_success=True

JSON 結果

{
    "id": "8ec8e324-4522-4a6e-9838-81496a0cadb0",
    "title": "Process reported as malicious ran on asset hw-srv2016-rpd7.rapid7.local",
    "status": "OPEN",
    "source": "ALERT",
    "assignee": {
        "name": "Tip Labops",
        "email": "tip.labops@siemplify.co"
    },
    "alerts": [
        {
            "type": "Malicious Hash On Asset",
            "type_description": "A malicious hash was found on an asset.",
            "first_event_time": "2020-12-02T13:16:14.197Z"
        }
    ],
    "created_time": "2020-12-02T13:18:16.758Z"
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功：print "Rapid7 InsightIDR Investigation {0} assignee changed to {1}".format(investigation_id, assignee) if is_success=False, for example investigation with provided id was not found: print "Failed to update Rapid7 InsightIDR investigation assignee. 錯誤為：{0}".format(error from response) 動作應會失敗並停止執行劇本：如果發生重大錯誤，例如憑證錯誤或連線中斷：請列印「Failed to connect to the Rapid7 InsightIDR service! Error is {0}".format(exception.stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功：print "Rapid7 InsightIDR Investigation {0} assignee changed to {1}".format(investigation_id, assignee)

if is_success=False, for example investigation with provided id was not found: print "Failed to update Rapid7 InsightIDR investigation assignee. 錯誤為：{0}".format(error from response)

一般

列出已儲存的查詢

說明

列出 Rapid7 InsightIDR 儲存的查詢。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
記錄限制	整數	20	否	指定動作可傳回的記錄數。

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項
is_success	is_success=False
is_success	is_success=True

JSON 結果

{
    "saved_queries": [
        {
            "id": "00000000-0003-71fd-0000-000000000000",
            "name": "test3",
            "leql": {
                "statement": "where(destination_asset = \"hw-srv2016-rpd7.rapid7.local\" AND destination_user = \"administrator\")",
                "during": {
                    "time_range": "Last 1 Hour",
                    "to": null,
                    "from": null
                }
            },
            "logs": [
                "a2ba0890-8ddd-444a-9e15-2dc488f0c398",
                "043584c7-113e-4ffc-a6b8-ea0be1a4f501",
                "3c0fc9f7-a7c4-4ff3-b221-d60d260bab22",
                "9eedf8cd-cf85-4ca3-9ac5-e329b523cc12",
                "3e251f54-71a3-4d19-84dd-b56d8ad8c49c"
            ]
        },
    ]
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功：列印「Rapid7 InsightIDR saved queries found」(已找到 Rapid7 InsightIDR 儲存的查詢) 如果 is_success=True，但找不到已儲存的查詢：print "No saved queries were returned." 動作應會失敗並停止執行劇本：如果發生重大錯誤，例如憑證錯誤或連線中斷：請列印「Failed to connect to the Rapid7 InsightIDR service! Error is {0}".format(exception.stacktrace)	一般
CSV	資料表名稱：Rapid7 InsightIDR Saved Queries 資料表資料欄： ID 名稱陳述式時間範圍開始時間結束時間記錄	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功：列印「Rapid7 InsightIDR saved queries found」(已找到 Rapid7 InsightIDR 儲存的查詢)

如果 is_success=True，但找不到已儲存的查詢：print "No saved queries were returned."

一般

CSV

資料表名稱：Rapid7 InsightIDR Saved Queries

資料表資料欄：

ID
名稱

陳述式

時間範圍

開始時間

結束時間

記錄

一般

建立已儲存的查詢

說明

根據指定動作輸入參數建立 Rapid7 InsightIDR 已儲存查詢。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
名稱	字串	不適用	是	新儲存查詢的名稱。
陳述式	字串	不適用	是	要在查詢中執行的陳述式，應遵循 LEQL 語法，例如：where(foo=bar)。
時間範圍	整數	4	是	指定查詢應擷取資料的時間範圍 (以小時為單位)。
記錄	字串	不適用	否	要對其執行記錄名稱查詢。參數接受以半形逗號分隔的多個值。

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項
is_success	is_success=False
is_success	is_success=True

JSON 結果

{
    "saved_query": {
        "id": "00000000-0003-7216-0000-000000000000",
        "name": "MySearch4",
        "leql": {
            "statement": "where(bar=foo)",
            "during": {
                "time_range": null,
                "to": 1450557608000,
                "from": 1450557604000
            }
        },
        "logs": [
            "a2ba0890-8ddd-444a-9e15-2dc488f0c398",
            "043584c7-113e-4ffc-a6b8-ea0be1a4f501"
        ]
    }
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功：print "New Rapid7 InsightIDR saved query created: {0}".format(new query id from response) 如果 is_success=False，例如查詢語法不正確：print "Failed to create Rapid7 InsightID saved query. 錯誤為：{0}".format(error from response) 動作應會失敗並停止執行劇本：如果發生重大錯誤，例如憑證錯誤或連線中斷：請列印「Failed to connect to the Rapid7 InsightIDR service! Error is {0}".format(exception.stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功：print "New Rapid7 InsightIDR saved query created: {0}".format(new query id from response)

如果 is_success=False，例如查詢語法不正確：print "Failed to create Rapid7 InsightID saved query. 錯誤為：{0}".format(error from response)

一般

刪除已儲存的查詢

說明

刪除 Rapid7 InsightIDR 已儲存的查詢。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
已儲存的查詢 ID	字串	不適用	是	要刪除的已儲存查詢 ID，格式為 00000000-0003-7218-0000-000000000000

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項
is_success	is_success=False
is_success	is_success=True

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功：print "Rapid7 InsightIDR saved query {0} was deleted successfully".format(query id) if is_success=False，例如提供的查詢 ID 有誤：print "Failed to delete Rapid7 InsightID saved query. 錯誤為：{0}".format(error from response) 動作應會失敗並停止執行劇本：如果發生重大錯誤，例如憑證錯誤或連線中斷：請列印「Failed to connect to the Rapid7 InsightIDR service! Error is {0}".format(exception.stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功：print "Rapid7 InsightIDR saved query {0} was deleted successfully".format(query id)

if is_success=False，例如提供的查詢 ID 有誤：print "Failed to delete Rapid7 InsightID saved query. 錯誤為：{0}".format(error from response)

一般

執行已儲存的查詢

說明

執行 Rapid7 InsightIDR 已儲存的查詢。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
已儲存的查詢 ID	字串	不適用	是	要刪除的已儲存查詢 ID，格式為 00000000-0003-7218-0000-000000000000

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項
is_success	is_success=False
is_success	is_success=True

JSON 結果

{
    "logs": [
        "a2ba0890-8ddd-444a-9e15-2dc488f0c398",
        "043584c7-113e-4ffc-a6b8-ea0be1a4f501",
        "3c0fc9f7-a7c4-4ff3-b221-d60d260bab22",
        "9eedf8cd-cf85-4ca3-9ac5-e329b523cc12",
        "3e251f54-71a3-4d19-84dd-b56d8ad8c49c"
    ],
    "events": [
        {
            "sequence_number": 3237167368573841408,
            "timestamp": 1607411688338,
            "labels": [],
            "log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
            "message": "{\"timestamp\":\"2020-12-08T07:14:32.408Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd071a3b\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61228\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071432.408008-000\"}}",
            "links": [
                {
                    "rel": "Context",
                    "href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573841408?per_page=50&timestamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
                }
            ],
            "sequence_number_str": "3237167368573841408"
        },
        {
            "sequence_number": 3237167368573845504,
            "timestamp": 1607411688338,
            "labels": [],
            "log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
            "message": "{\"timestamp\":\"2020-12-08T07:14:31.433Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd071708\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61226\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.433772-000\"}}",
            "links": [
                {
                    "rel": "Context",
                    "href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573845504?per_page=50&timestamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
                }
            ],
            "sequence_number_str": "3237167368573845504"
        },
        {
            "sequence_number": 3237167368573849600,
            "timestamp": 1607411688338,
            "labels": [],
            "log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
            "message": "{\"timestamp\":\"2020-12-08T07:14:31.430Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd0716eb\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61225\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.430750-000\"}}",
            "links": [
                {
                    "rel": "Context",
                    "href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573849600?per_page=50&timestamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
                }
            ],
            "sequence_number_str": "3237167368573849600"
        },
        {
            "sequence_number": 3237167368573853696,
            "timestamp": 1607411688338,
            "labels": [],
            "log_id": "3e251f54-71a3-4d19-84dd-b56d8ad8c49c",
            "message": "{\"timestamp\":\"2020-12-08T07:14:31.427Z\",\"source_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"destination_asset\":\"hw-srv2016-rpd7.rapid7.local\",\"source_asset_address\":\"172.30.202.20\",\"destination_asset_address\":\"172.30.202.20\",\"destination_user\":\"administrator\",\"destination_account\":\"administrator\",\"destination_domain\":\"rapid7\",\"destination_account_sid\":\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"logon_type\":\"NETWORK\",\"result\":\"SUCCESS\",\"new_authentication\":\"false\",\"service\":\"ntlmssp\",\"source_json\":{\"eventCode\":4624,\"computerName\":\"HW-SRV2016-RPD7.rapid7.local\",\"insertionStrings\":[\"S-1-0-0\",\"-\",\"-\",\"0x0\",\"S-1-5-21-3325036707-3113295233-4269388844-500\",\"Administrator\",\"RAPID7\",\"0xd0716d1\",\"3\",\"NtLmSsp \",\"NTLM\",\"NEXPOSE\",\"{00000000-0000-0000-0000-000000000000}\",\"-\",\"NTLM V2\",\"128\",\"0x0\",\"-\",\"172.30.202.20\",\"61224\",\"%%1833\",\"-\",\"-\",\"-\",\"%%1843\",\"0x0\",\"%%1842\"],\"timeGenerated\":\"20201208071431.427604-000\"}}",
            "links": [
                {
                    "rel": "Context",
                    "href": "https://eu.api.insight.rapid7.com/log_search/query/context/3237167368573853696?per_page=50&timestamp=1607411688338&log_keys=a2ba0890-8ddd-444a-9e15-2dc488f0c398%3A043584c7-113e-4ffc-a6b8-ea0be1a4f501%3A3c0fc9f7-a7c4-4ff3-b221-d60d260bab22%3A9eedf8cd-cf85-4ca3-9ac5-e329b523cc12%3A3e251f54-71a3-4d19-84dd-b56d8ad8c49c&context_type=SURROUND"
                }
            ],
            "sequence_number_str": "3237167368573853696"
        },

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊： if successful: print "Rapid7 InsightIDR saved query {0} executed successfully".format(query id) if is_success=False，例如提供的查詢 ID 有誤：print "Failed to delete Rapid7 InsightID saved query. 錯誤為：{0}".format(error from response) 動作應會失敗並停止執行劇本：如果發生重大錯誤，例如憑證錯誤或連線中斷：print "Failed to connect to the Rapid7 InsightIDR service! Error is {0}".format(exception.stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

if successful: print "Rapid7 InsightIDR saved query {0} executed successfully".format(query id)

if is_success=False，例如提供的查詢 ID 有誤：print "Failed to delete Rapid7 InsightID saved query. 錯誤為：{0}".format(error from response)

動作應會失敗並停止執行劇本：
如果發生重大錯誤，例如憑證錯誤或連線中斷：print "Failed to connect to the Rapid7 InsightIDR service! Error is {0}".format(exception.stacktrace)

一般

更新調查

說明

在 Rapid7 InsightIDR 中更新調查。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
調查 ID	字串	不適用	是	指定需要更新的調查 ID。
狀態	DDL	請選取一項可能的值：開啟調查中已關閉	否	指定調查狀態。
已儲存的查詢 ID	字串	請選取一項可能的值：良性有惡意不適用	否	指定調查的處置方式。

參數顯示名稱

類型

預設值

為必填項目

說明

調查 ID

字串

不適用

是

指定需要更新的調查 ID。

狀態

DDL

請選取一項

可能的值：

開啟
調查中
已關閉

否

指定調查狀態。

已儲存的查詢 ID

字串

請選取一項

可能的值：

良性
有惡意
不適用

否

指定調查的處置方式。

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項
is_success	is_success=False
is_success	is_success=True

JSON 結果

{
    "rrn": "rrn:investigation:eu:d16635a5-8a81-410c-8c33-67a4fbf26eb4:investigation:PAQBBKR4941D",
    "organization_id": "d16635a5-8a81-410c-8c33-67a4fbf26eb4",
    "title": "Suspicious Process - Malicious Hash On Asset",
    "source": "ALERT",
    "status": "OPEN",
    "priority": "HIGH",
    "last_accessed": "2022-10-12T13:08:37.650Z",
    "created_time": "2022-10-12T13:08:37.650Z",
    "disposition": "NOT_APPLICABLE",
    "assignee": null,
    "first_alert_time": "2022-10-12T13:08:37.643Z",
    "latest_alert_time": "2022-10-12T13:11:43.018Z"
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果傳回的資訊為 (is_success=true)：「Successfully updated investigation with ID {investigation id} in Rapid7 InsightIDR.」(已在 Rapid7 InsightIDR 中成功更新 ID 為 {investigation id} 的調查)。動作應失敗並停止執行應對手冊：如果系統回報重大錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「執行『更新調查』動作時發生錯誤。Reason: {0}''.format(error.Stacktrace)" 如果找不到快訊：執行「更新調查」動作時發生錯誤。原因：Rapid7 InsightIDR 中找不到 ID 為 {investigation id} 的調查。請檢查拼字。」如果「狀態」和「處置」為「選取一項」：「執行『更新調查』動作時發生錯誤。原因：「狀態」或「處置」參數至少應有一個值。	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果傳回的資訊為 (is_success=true)：「Successfully updated investigation with ID {investigation id} in Rapid7 InsightIDR.」(已在 Rapid7 InsightIDR 中成功更新 ID 為 {investigation id} 的調查)。

動作應失敗並停止執行應對手冊：

如果系統回報重大錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「執行『更新調查』動作時發生錯誤。Reason: {0}''.format(error.Stacktrace)"

如果找不到快訊：執行「更新調查」動作時發生錯誤。原因：Rapid7 InsightIDR 中找不到 ID 為 {investigation id} 的調查。請檢查拼字。」

如果「狀態」和「處置」為「選取一項」：「執行『更新調查』動作時發生錯誤。原因：「狀態」或「處置」參數至少應有一個值。

一般

連接器

Rapid7 InsightIDR - Investigations Connector

說明

這個連接器是使用預先發布的 API 端點建構而成。從 Rapid7 InsightIDR 提取調查資訊。

連接器參數

參數顯示名稱	類型	預設值	為必填項目	說明
產品欄位名稱	字串	data_type	是	輸入來源欄位名稱，即可擷取產品欄位名稱。
事件欄位名稱	字串	來源	是	輸入來源欄位名稱，即可擷取事件欄位名稱。
環境欄位名稱	字串	""	否	說明儲存環境名稱的欄位名稱。如果找不到環境欄位，環境就是預設環境。
環境規則運算式模式	字串	.*	否	要對「環境欄位名稱」欄位中的值執行的 regex 模式。預設值為 .*，可擷取所有內容並傳回未變更的值。用於允許使用者透過規則運算式邏輯操控環境欄位。如果 regex 模式為空值或空白，或環境值為空值，最終環境結果就是預設環境。
指令碼逾時 (秒)	整數	180	是	執行目前指令碼的 Python 程序逾時限制。
API 根層級	字串	https://{instance}.api.insight.rapid7.com	是	Rapid7 InsightIDR 執行個體的 API 根目錄。
API 金鑰	字串	不適用	是	Rapid7 InsightIDR 帳戶的 API 金鑰。
來源	CSV	警示、使用者	否	用於擷取調查的來源。可能的值：User、Alert。如未選取任何選項，連接器會從這兩個來源擷取調查。
要擷取的最低優先順序	字串	中	否	用於擷取調查的最低優先順序。可能的值：低、中、高、重大。如未指定任何項目，連接器會擷取所有嚴重程度的快訊。
可倒轉的小時數上限	整數	1	否	要擷取調查記錄的小時數。
要擷取的警告數上限	整數	20	否	每個連接器疊代要處理的快訊數量。預設值為 20。
將動態清單設為黑名單	核取方塊	已勾選	是	啟用後，動態清單會做為黑名單使用。
驗證 SSL	核取方塊	已勾選	是	啟用後，請確認連線至 Darktrace 伺服器的 SSL 憑證是否有效。
Proxy 伺服器位址	字串	不適用	否	要使用的 Proxy 伺服器位址。
Proxy 使用者名稱	字串	不適用	否	用於驗證的 Proxy 使用者名稱。
Proxy 密碼	密碼	不適用	否	用於驗證的 Proxy 密碼。

連接器規則

Proxy 支援

連接器支援 Proxy。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。