RSA NetWitness Platform
Versão da integração: 11.0
Configure a integração da plataforma RSA NetWitness no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API Broker | String | http://x.x.x.x:50103 | Não | Raiz da API da API Broker. |
| Nome de utilizador da API Broker | String | N/A | Não | Nome de utilizador para a API Broker. |
| Palavra-passe da API Broker | Palavra-passe | N/A | Não | Palavra-passe para a API Broker. |
| Raiz da API Concentrator | String | http://x.x.x.x:50105 | Não | Raiz da API da API Concentrator. |
| Nome de utilizador da API Concentrator | String | N/A | Não | Nome de utilizador para a API Concentrator. |
| Palavra-passe da API Concentrator | Palavra-passe | N/A | Não | Palavra-passe para a API Concentrator. |
| Raiz da API Web | String | https://{ip}/rest/api/ | Não | Raiz da API da instância da plataforma Netwitness. |
| Nome de utilizador da Web | String | N/A | Não | Nome de utilizador da instância da plataforma Netwitness. |
| Palavra-passe da Web | Palavra-passe | N/A | Não | Palavra-passe da instância da plataforma Netwitness. |
| Validar SSL | Caixa de verificação | Desmarcado | Não | Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor da plataforma RSA Netwitness é válido. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Tchim-tchim
Descrição
Teste a conetividade à plataforma RSA Netwitness.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Ponto final de enriquecimento
Descrição
Obter as informações do sistema do ponto final pelo respetivo nome do anfitrião ou endereço IP. Requer uma licença do RSA Netwitness Respond, o serviço do servidor de ponto final em execução em segundo plano e o nome de utilizador e a palavra-passe da Web configurados na configuração da integração.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É Mandatório | Descrição |
|---|---|---|---|---|
| Limite da pontuação de risco | Número inteiro | 50 | Falso | Especifique o limite de risco para o ponto final. Se o ponto final exceder o limite, a entidade relacionada é marcada como suspeita. Se nada for especificado, a ação não verifica a pontuação de risco. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Anfitrião
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| RSA_NTW_agentId | agentId | Quando estiver disponível em JSON |
| RSA_NTW_hostName | hostName | Quando estiver disponível em JSON |
| RSA_NTW_riskScore | riskScore | Quando estiver disponível em JSON |
| RSA_NTW_networkInterfaces_{id}_name | networkInterfaces/name | Quando estiver disponível em JSON |
| RSA_NTW_networkInterfaces_{id}_macAddress | networkInterfaces/macAddress | Quando estiver disponível em JSON |
| RSA_NTW_networkInterfaces_{id}_ipv4 | Lista separada por espaços de networkInterfaces/ipv4 | Quando estiver disponível em JSON |
| RSA_NTW_networkInterfaces_{id}_ipv6 | Lista separada por espaços de networkInterfaces/ipv6 | Quando estiver disponível em JSON |
| RSA_NTW_networkInterfaces_{id}_networkIdv6 | Lista separada por espaços de networkInterfaces/networkIdv6 | Quando estiver disponível em JSON |
| RSA_NTW_networkInterfaces_{id}_gateway | Lista separada por espaços de networkInterfaces/gateway | Quando estiver disponível em JSON |
| RSA_NTW_networkInterfaces_{id}_dns | Lista separada por espaços de networkInterfaces/dns | Quando estiver disponível em JSON |
| RSA_NTW_networkInterfaces_{id}_promiscuous | networkInterfaces/promiscuous | Quando estiver disponível em JSON |
| RSA_NTW_lastSeenTime | lastSeenTime | Quando estiver disponível em JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"items": [
{
"agentId": "575EDC44-BDF9-6D00-FFCD-D354FB641E27",
"hostName": "RSA-HOST-1",
"riskScore": 100,
"networkInterfaces": [
{
"name": "Intel(R) 82574L Gigabit Network Connection",
"macAddress": "00:50:56:A2:30:03",
"ipv4": [
"172.30.203.145"
],
"ipv6": [
"fe80::dce6:5825:454a:968d"
],
"networkIdv6": [
"fe80::"
],
"gateway": [
"172.30.203.1"
],
"dns": [
"8.8.8.8"
],
"promiscuous": false
}
],
"lastSeenTime": "2020-08-23T12:32:33.107Z"
}
],
"pageNumber": 0,
"pageSize": 100,
"totalPages": 1,
"totalItems": 1,
"hasNext": false,
"hasPrevious": false
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido e, pelo menos, uma das entidades fornecidas tiver sido enriquecida (is_success = true): Imprimir "Successfully enriched the following endpoints from RSA Netwitness: \n {0}".format(entity.identifier list) Se não for possível enriquecer entidades específicas(is_success = true): Print "Action was not able to enrich the following endpoints from RSA Netwitness \n: {0}".format([entity.identifier]) If fail to enrich for all entities (is_success = false): Imprimir: "Nenhuma entidade foi enriquecida." A ação deve falhar e parar a execução de um playbook: Imprimir "Erro ao executar a ação "Enrich Endpoint". Motivo: {0}''.format(error.Stacktrace) Se o serviço de ponto final não foi encontrado: Imprimir "Erro ao executar a ação "Enrich Endpoint". Motivo: não foi encontrado o servidor do ponto final." |
Geral |
Enriquecer ficheiro
Descrição
Obter informações sobre o ficheiro através de hashes ou nomes de ficheiros. Apenas são suportados os algoritmos MD5 e SHA256. Requer uma licença do RSA Netwitness Respond, um serviço de servidor de ponto final em execução em segundo plano e um nome de utilizador e uma palavra-passe da Web configurados na configuração de integração.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É Mandatório | Descrição |
|---|---|---|---|---|
| Limite da pontuação de risco | Número inteiro | 50 | Não | Especifique o limite de risco para o ficheiro. Se o ficheiro exceder o limite, a entidade relacionada é marcada como suspeita. Se nada for especificado, a ação não verifica a pontuação de risco. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| RSA_NTW_filename | firstFileName | Quando estiver disponível em JSON |
| RSA_NTW_reputationStatus | reputationStatus | Quando estiver disponível em JSON |
| RSA_NTW_globalRiskScore | globalRiskScore | Quando estiver disponível em JSON |
| RSA_NTW_machineOsType | machineOsType | Quando estiver disponível em JSON |
| RSA_NTW_size | tamanho | Quando estiver disponível em JSON |
| RSA_NTW_checksumMd5 | checksumMd5 | Quando estiver disponível em JSON |
| RSA_NTW_checksumSha1 | checksumSha1 | Quando estiver disponível em JSON |
| RSA_NTW_checksumSha256 | checksumSha256 | Quando estiver disponível em JSON |
| RSA_NTW_entropy | entropia | Quando estiver disponível em JSON |
| RSA_NTW_format | pe | Quando estiver disponível em JSON |
| RSA_NTW_fileStatus | Neutro | Quando estiver disponível em JSON |
| RSA_NTW_remediationAction | Desbloquear | Quando estiver disponível em JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"items": [
{
"firstFileName": "AM_Delta_Patch_1.321.1947.0.exe",
"reputationStatus": "Known Good",
"globalRiskScore": 0,
"firstSeenTime": "2020-08-23T00:46:25.288Z",
"machineOsType": "windows",
"signature": {
"timeStamp": "2020-08-22T21:01:55.552Z",
"thumbprint": "c6573d9ba5efc55b1ad1c59b9cafc33d232b13cc",
"context": [
"microsoft",
"signed",
"valid"
],
"signer": "Microsoft Corporation"
},
"size": 441280,
"checksumMd5": "40d93a5ed9d2d55e35857c1f1de162db",
"checksumSha1": "3096e9e4ac4cc46dcfa11a053583c2d3e14b14b8",
"checksumSha256": "34261adf58ac3c8e38724d5fbfba21037d868a2c0b6291e2a61e5a023b55c3f9",
"pe": {
"timeStamp": "2020-08-22T20:57:28.000Z",
"imageSize": 454656,
"numberOfExportedFunctions": 0,
"numberOfNamesExported": 0,
"numberOfExecuteWriteSections": 0,
"context": [
"file.exe",
"file.arch64",
"file.versionInfoPresent",
"file.resourceDirectoryPresent",
"file.relocationDirectoryPresent",
"file.debugDirectoryPresent",
"file.tlsDirectoryPresent",
"file.richSignaturePresent",
"file.companyNameContainsText",
"file.descriptionContainsText",
"file.versionContainsText",
"file.internalNameContainsText",
"file.legalCopyrightContainsText",
"file.originalFilenameContainsText",
"file.productNameContainsText",
"file.productVersionContainsText",
"file.standardVersionMetaPresent"
],
"resources": {
"originalFileName": "AM_Delta_Patch_1.321.1947.0.exe",
"company": "Microsoft Corporation",
"description": "Microsoft Antimalware WU Stub",
"version": null
},
"sectionNames": [
".text",
".rdata",
".data",
".pdata",
".rsrc",
".reloc"
],
"importedLibraries": [
"ADVAPI32.dll",
"KERNEL32.dll",
"RPCRT4.dll",
"ntdll.dll"
]
},
"elf": null,
"macho": null,
"entropy": 7.378079119412321,
"format": "pe",
"fileStatus": "Neutral",
"remediationAction": "Unblock"
}
],
"pageNumber": 0,
"pageSize": 100,
"totalPages": 1,
"totalItems": 1,
"hasNext": false,
"hasPrevious": false
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de uma estratégia: If fail to enrich specific entities(is_success = true): Se a ação de enriquecimento falhar para todas as entidades (is_success = false): A ação deve falhar e parar a execução de um guia interativo: Se erro fatal, como credenciais incorretas, sem ligação ao servidor, outro: Imprimir "Erro ao executar a ação "Enriquecer ficheiro". Motivo: {0}''.format(error.Stacktrace)
Imprimir "Erro ao executar a ação "Enriquecer ficheiro". Motivo: não foi encontrado o servidor do ponto final." |
Geral |
Isolar ponto final
Descrição
Peça o isolamento do ponto final no RSA Netwitness. Requer uma licença do RSA Netwitness Respond, o serviço de servidor de ponto final em execução em segundo plano, o nome de utilizador e a palavra-passe da Web configurados na configuração da integração.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Comentário | String | N/A | Sim | Adicione um comentário que descreva o motivo do pedido de isolamento. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um playbook: Se não for possível isolar, pelo menos, uma das entidades fornecidas(is_success = false): A ação deve falhar e parar a execução de um guia interativo: Se erro fatal, como credenciais incorretas, sem ligação ao servidor, outro: Imprimir "Erro ao executar a ação "Isolar ponto final". Motivo: {0}''.format(error.Stacktrace) Se o serviço de ponto final não foi encontrado: Imprimir "Erro ao executar a ação "Isolar ponto final". Motivo: não foi encontrado o servidor do ponto final." |
Geral |
Unisolate Endpoint
Descrição
Solicite a anulação do isolamento do ponto final no RSA Netwitness. Requer uma licença do RSA Netwitness Respond, o serviço de servidor de ponto final em execução em segundo plano, o nome de utilizador e a palavra-passe da Web configurados na configuração da integração.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Comentário | String | N/A | Sim | Adicione um comentário que descreva o motivo do pedido de isolamento. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de uma estratégia: Se não for possível isolar, pelo menos, uma das entidades fornecidas(is_success = false): A ação deve falhar e parar a execução de um guia interativo: Se erro fatal, como credenciais incorretas, sem ligação ao servidor, outro: Imprimir "Erro ao executar a ação "Unisolate Endpoint". Motivo: {0}''.format(error.Stacktrace) Se o serviço de ponto final não foi encontrado: Imprimir "Erro ao executar a ação "Unisolate Endpoint". Motivo: não foi encontrado o servidor do ponto final." |
Geral |
Atualizar incidente
Descrição
Atualize o incidente no RSA Netwitness. Requer uma licença do RSA Netwitness Respond, um nome de utilizador e uma palavra-passe da Web configurados na configuração da integração.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID de incidente | String | N/A | Sim | Especifique o ID do incidente que tem de ser atualizado. |
| Estado | LDD | N/A | Não | Especifique o novo estado do incidente. |
| Atribuído a | String | N/A | Não | Especifique um novo responsável pelo incidente. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"id": "INC-128",
"title": "High Risk Alerts: NetWitness Endpoint for RSA-HOST-1",
"summary": "",
"priority": "High",
"riskScore": 72,
"status": "RemediationRequested",
"alertCount": 136,
"averageAlertRiskScore": 72,
"sealed": true,
"totalRemediationTaskCount": 0,
"openRemediationTaskCount": 0,
"created": "2020-08-26T12:56:57.867Z",
"lastUpdated": "2020-08-26T15:31:27.953Z",
"lastUpdatedBy": null,
"assignee": "admin",
"sources": [
"ECAT"
],
"ruleId": "5ef1b33614c0552a2884c590",
"firstAlertTime": "2020-08-26T12:56:56.097Z",
"categories": [],
"journalEntries": null,
"createdBy": "High Risk Alerts: NetWitness Endpoint",
"deletedAlertCount": 0,
"eventCount": 136,
"alertMeta": {
"SourceIp": [
""
],
"DestinationIp": [
""
]
}
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: If status code == 200 (is_success = true): Imprima "Successfully updated incident with ID {0} in RSA Netwitness".format(incident_id). Se o código de estado for 400 (is_success=false): Imprimir "Não foi possível atualizar o incidente com o ID {0} no RSA Netwitness. Motivo: {1}".format(incident_id, errors/message). A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: Imprimir "Erro ao executar a ação "Atualizar incidente". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Adicionar nota ao incidente
Descrição
Adicione uma nota ao incidente no RSA Netwitness. Requer uma licença do RSA Netwitness Respond, um nome de utilizador e uma palavra-passe da Web configurados na configuração da integração.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID de incidente | String | N/A | Sim | Especifique o ID do incidente que tem de ser atualizado. |
| Nota | String | N/A | Sim | Especifique a nota à qual deve ser adicionado o texto. |
| Autor | String | N/A | Sim | Especifique o autor da nota. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: If status code == 200 (is_success = true): Print "Successfully added note to incident with ID {0} in RSA Netwitness".format(incident_id). Se o código de estado for 400 (is_success=false): Imprimir "Não foi possível adicionar uma nota ao incidente com o ID {0} no RSA Netwitness. Motivo: {1}".format(incident_id, errors/message). A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: Imprimir "Erro ao executar a ação "Adicionar nota ao incidente". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Conetor
RSA Netwitness Platform - Incidents Connector
Descrição
Extraia incidentes da plataforma RSA Netwitness.
Como trabalhar com o objeto JSON de credenciais
O objeto JSON de credenciais oferece uma forma mais flexível de autenticação nas origens de dados. A configuração mais básica do JSON tem o seguinte aspeto:
{
"default_username": "username",
"default_password": "password"
}
Sem "default_username" e "default_password", o conetor gera um erro. Esta configuração é adequada para ambientes em que todas as origens de dados partilham o mesmo nome de utilizador e palavra-passe. Se precisar de fornecer credenciais específicas para as origens de dados, a estrutura do JSON tem o seguinte aspeto:
{
"default_username": "username",
"default_password": "password",
"dataSources": [
{
"api_root": "172.30.203.151:50102",
"username": "username",
"password": "password"
},
{
"api_root": "172.30.203.151:50105",
"username": "username",
"password": "password"
},
{
"api_root": "172.30.203.151:50103",
"username": "username",
"password": "password"
}
]
}
O conetor vai analisar os eventos para encontrar a raiz da API de origem e, em seguida, compará-la com o que está disponível no objeto JSON de credenciais. Se for encontrada uma correspondência, o conector vai usar o nome de utilizador e a palavra-passe da lista "dataSources". Se não houver nenhuma correspondência, vai usar "default_username" e default_password. Além disso, não tem de indicar o nome de utilizador e a palavra-passe na lista "dataSources". Por exemplo, se apenas for fornecido o nome de utilizador, o conector vai obter o nome de utilizador da lista "dataSource" e a palavra-passe de "default_password".
Configure o conetor de incidentes da plataforma RSA Netwitness no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | escrever | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API Web | String | https://{ip}/rest/api/ | Sim | Raiz da API Web da instância da plataforma RSA Netwitness. |
| Nome de utilizador da Web | String | N/A | Sim | Nome de utilizador da conta da plataforma RSA Netwitness. |
| Palavra-passe da Web | Palavra-passe | N/A | Sim | Palavra-passe da conta da plataforma RSA Netwitness. |
| Fetch Max Hours Backwards | Número inteiro | 1 | Não | Número de horas a partir das quais obter incidentes. Nota: o conector aguarda o tempo indicado para as atualizações de incidentes. |
| Pontuação de risco mais baixa a obter | Número inteiro | N/A | Não | A pontuação de risco mais baixa dos incidentes a obter. Por predefinição, o conetor vai carregar todos os incidentes.O máximo é 100. |
| Gravidade alternativa | String | Informativas | Sim | Especifique qual deve ser a gravidade alternativa para o alerta do Google SecOps quando a pontuação de risco não estiver disponível. Valores possíveis: Informacional, Baixo, Médio, Alto, Crítico. |
| Máximo de incidentes a obter | Número inteiro | 10 | Não | O número de incidentes a processar por iteração de um conetor. O máximo é 100. |
| Use a lista de autorizações como uma lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a lista de autorizações é usada como uma lista negra. |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, verifique se o certificado SSL para a ligação ao servidor da plataforma RSA Netwitness é válido. |
| Endereço do servidor proxy | String | Não | O endereço do servidor proxy a usar. | |
| Nome de utilizador do proxy | String | Não | O nome de utilizador do proxy para autenticação. | |
| Palavra-passe do proxy | Palavra-passe | Não | A palavra-passe do proxy para autenticação. | |
| Objeto JSON de credenciais | Palavra-passe | N/A | Não | Este parâmetro é necessário para armazenar as credenciais da origem de dados. Este parâmetro tem prioridade sobre "Broker API Root", "Broker API Username", "Broker API Password", "Concentrator API Root", "Concentrator API Username" e "Concentrator API Password". Consulte o portal de documentação para ver mais detalhes. |
Regras de conector
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.