RSA NetWitness
Versione integrazione: 15.0
Configurare l'integrazione di RSA NetWitness in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Azioni
Dindin
Descrizione
Testa la connettività.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Esegui query su NetWitness per gli eventi relativi all'host
Descrizione
Assegnare un problema a un utente.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Nome host.
Risultati dell'azione
Arricchimento delle entità
| Nome del campo di arricchimento | Logica: quando applicarla |
|---|---|
| payload.req | Restituisce se esiste nel risultato JSON |
| org.src | Restituisce se esiste nel risultato JSON |
| domain.src | Restituisce se esiste nel risultato JSON |
| netname | Restituisce se esiste nel risultato JSON |
| intera durata | Restituisce se esiste nel risultato JSON |
| eliminare | Restituisce se esiste nel risultato JSON |
| payload | Restituisce se esiste nel risultato JSON |
| dimensioni | Restituisce se esiste nel risultato JSON |
| country.src | Restituisce se esiste nel risultato JSON |
| servizio | Restituisce se esiste nel risultato JSON |
| longdec.src | Restituisce se esiste nel risultato JSON |
| eth.src | Restituisce se esiste nel risultato JSON |
| tcp.dstport | Restituisce se esiste nel risultato JSON |
| direction | Restituisce se esiste nel risultato JSON |
| media | Restituisce se esiste nel risultato JSON |
| ip.dst | Restituisce se esiste nel risultato JSON |
| latdec.src | Restituisce se esiste nel risultato JSON |
| city.src | Restituisce se esiste nel risultato JSON |
| avviso | Restituisce se esiste nel risultato JSON |
| sessionid | Restituisce se esiste nel risultato JSON |
| eth.type | Restituisce se esiste nel risultato JSON |
| ip.src | Restituisce se esiste nel risultato JSON |
| tcp.flags | Restituisce se esiste nel risultato JSON |
| eth.dst | Restituisce se esiste nel risultato JSON |
| hai | Restituisce se esiste nel risultato JSON |
| tcp.srcport | Restituisce se esiste nel risultato JSON |
| pacchetto | Restituisce se esiste nel risultato JSON |
| applicazioni. | Restituisce se esiste nel risultato JSON |
| tempo | Restituisce se esiste nel risultato JSON |
| ip.proto | Restituisce il valore se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"EntityResult":
[
{
"payload.req": "0",
"org.src": "Blue",
"domain.src": "example.com",
"netname": "other src",
"lifetime": "0",
"rid": "29",
"payload": "0",
"size": "66",
"country.src": "France",
"service": "0",
"longdec.src": "-2.2595",
"eth.src": "11:1C:1C:11:22:87",
"tcp.dstport": "40906",
"direction": "inbound",
"medium": "1",
"ip.dst": "1.1.1.1",
"latdec.src": "48.3175",
"city.src": "Tru00e9meur",
"alert": "test App rule",
"sessionid": "29",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "20",
"eth.dst": "11:11:11:B1:1B:11",
"did": "nwappliance5805",
"tcp.srcport": "80",
"packets": "1",
"streams": "1",
"time": 1547013286,
"ip.proto": "6"
},
{
"Entity": "example.com"
}]
Eseguire query su NetWitness per eventi relativi all'IP
Descrizione
Esegui una query su RSA NetWitness per recuperare tutti gli eventi per una query specifica (condizioni) per un determinato indirizzo IP nell'avviso.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Indirizzo IP.
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica: quando applicarla |
|---|---|
| payload.req | Restituisce se esiste nel risultato JSON |
| ubc.req | Restituisce se esiste nel risultato JSON |
| netname | Restituisce se esiste nel risultato JSON |
| intera durata | Restituisce se esiste nel risultato JSON |
| eliminare | Restituisce se esiste nel risultato JSON |
| payload | Restituisce se esiste nel risultato JSON |
| dimensioni | Restituisce se esiste nel risultato JSON |
| servizio | Restituisce se esiste nel risultato JSON |
| mcb.req | Restituisce se esiste nel risultato JSON |
| eth.src | Restituisce se esiste nel risultato JSON |
| tcp.flags | Restituisce se esiste nel risultato JSON |
| tcp.dstport | Restituisce se esiste nel risultato JSON |
| direction | Restituisce se esiste nel risultato JSON |
| media | Restituisce se esiste nel risultato JSON |
| ip.dst | Restituisce se esiste nel risultato JSON |
| avviso | Restituisce se esiste nel risultato JSON |
| sessionid | Restituisce se esiste nel risultato JSON |
| eth.type | Restituisce se esiste nel risultato JSON |
| ip.src | Restituisce se esiste nel risultato JSON |
| Eth.dst | Restituisce se esiste nel risultato JSON |
| hai | Restituisce se esiste nel risultato JSON |
| tcp.srcport | Restituisce se esiste nel risultato JSON |
| pacchetti | Restituisce se esiste nel risultato JSON |
| applicazioni. | Restituisce se esiste nel risultato JSON |
| tempo | Restituisce se esiste nel risultato JSON |
| entropy.req | Restituisce se esiste nel risultato JSON |
| ip.proto | Restituisce il valore se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"eth.src": "11:6C:AC:61:11:11",
"tcp.flags": "24",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "9",
"eth.dst": "00:50:56:A5:45:70",
"did": "nwappliance5805",
"tcp.srcport": "389",
"packets": "2",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "1.1.1.1"
}]
Esegui query su NetWitness per gli eventi relativi all'utente
Descrizione
Esegui una query su RSA NetWitness per recuperare tutti gli eventi per una query specifica (condizioni) per un determinato nome utente nell'avviso.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Utente.
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica: quando applicarla |
|---|---|
| payload.req | Restituisce se esiste nel risultato JSON |
| ubc.req | Restituisce se esiste nel risultato JSON |
| netname | Restituisce se esiste nel risultato JSON |
| intera durata | Restituisce se esiste nel risultato JSON |
| eliminare | Restituisce se esiste nel risultato JSON |
| payload | Restituisce se esiste nel risultato JSON |
| dimensioni | Restituisce se esiste nel risultato JSON |
| servizio | Restituisce se esiste nel risultato JSON |
| mcb.req | Restituisce se esiste nel risultato JSON |
| mcbc.req | Restituisce se esiste nel risultato JSON |
| tcp.dstport | Restituisce se esiste nel risultato JSON |
| direction | Restituisce se esiste nel risultato JSON |
| media | Restituisce se esiste nel risultato JSON |
| ip.dst | Restituisce se esiste nel risultato JSON |
| avviso | Restituisce se esiste nel risultato JSON |
| sessionid | Restituisce se esiste nel risultato JSON |
| eth.type | Restituisce se esiste nel risultato JSON |
| ip.src | Restituisce se esiste nel risultato JSON |
| tcp.flags | Restituisce se esiste nel risultato JSON |
| Tcp.srcport | Restituisce se esiste nel risultato JSON |
| pacchetti | Restituisce se esiste nel risultato JSON |
| user.src | Restituisce se esiste nel risultato JSON |
| applicazioni. | Restituisce se esiste nel risultato JSON |
| tempo | Restituisce se esiste nel risultato JSON |
| entropy.req | Restituisce se esiste nel risultato JSON |
| ip.proto | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"EntityResult":
[{
"payload.req": "110",
"ubc.req": "44",
"netname": "private dst",
"lifetime": "0",
"rid": "792830",
"payload": "110",
"size": "242",
"service": "0",
"mcb.req": "48",
"mcbc.req": "9",
"tcp.dstport": "39497",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "792831",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"tcp.flags": "24",
"tcp.srcport": "389",
"packets": "2",
"user.src": "user",
"streams": "1",
"time": 1547467411,
"entropy.req": "5075",
"ip.proto": "6"
},
"Entity": "user"
}]
Esegui query generale
Descrizione
Esegui una query gratuita e ricevi un evento e un file PCAP.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Query | 0 | N/D | Stringa di query personalizzata. |
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| events_json | Vero/Falso | events_json:False |
Risultato JSON
[
{
"payload.req": "66",
"ubc.req": "18",
"netname": "multicast dst",
"lifetime": "0",
"rid": "48908",
"payload": "66",
"size": "150",
"service": "0",
"mcb.req": "0",
"eth.src": "00:50:56:B5:76:2B",
"udp.srcport": "60807",
"udp.dstport": "5355",
"direction": "lateral",
"medium": "1",
"ip.dst": "1.1.1.1",
"alert": "test App rule",
"sessionid": "48908",
"eth.type": "2048",
"ip.src": "1.1.1.1",
"mcbc.req": "24",
"eth.dst": "11:11:5E:11:11:FC",
"did": "nwappliance5805",
"packets": "2",
"streams": "1",
"time": 1547047123,
"entropy.req": "3498",
"ip.proto": "17"
}]
Aggiorna il database "TI" di NetWitness
Descrizione
Imposta la configurazione dei feed personalizzati in NetWitness per arricchire le entità con chiavi e valori di metadati specifici. Questi verranno correlati in un secondo momento nelle regole di correlazione di NetWitness
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Stringa del valore chiave | 0 | N/D | Una stringa di valori chiave,presentata nel formato corrente: chiave1:valore1,chiave2:valore2 |
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_succeed | Vero/Falso | is_succeed:False |
Risultato JSON
N/A
Aggiornare il database TI dell'input non elaborato di NetWitness
Descrizione
Imposta la configurazione dei feed personalizzati in NetWitness per arricchire le entità con chiavi e valori di metadati specifici. Questi verranno correlati in un secondo momento nelle regole di correlazione di NetWitness.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Identificatori | 0 | N/D | Elenco di identificatori separati da virgole. |
| Elementi chiave e valore | 0 | N/D | Elementi chiave e valore. |
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
N/A
Connettori
Configurare i connettori RSA NetWitness in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Per configurare il connettore selezionato, utilizza i parametri specifici del connettore elencati nelle tabelle seguenti:
- Parametri di configurazione del connettore RSA NetWitness Incidents
- Parametri di configurazione del connettore di query RSA NetWitness
Connettore per gli incidenti RSA NetWitness
Descrizione
Connettore per gli incidenti RSA NetWitness.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| DeviceProductField | 2 | device_product | Il nome del campo utilizzato per determinare il prodotto del dispositivo. |
| EventClassId | 2 | nome | Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo). |
| PythonProcessTimeout | 2 | 60 | Il limite di timeout (in secondi) per il processo Python che esegue lo script corrente. |
| URI UI | 2 | https://x.x.x.x/ | N/D |
| URI del concentratore | 2 | http://x.x.x.x:50105/ | N/D |
| Decodifica URI | 2 | https://x.x.x.x:50102/ | N/D |
| Nome utente | 2 | null | N/D |
| Password | 3 | null | N/D |
| Campo del generatore di regole | 2 | null | N/D |
| Campo temporale evento | 2 | tempo | N/D |
| Max Days Backwards | 1 | 1 | N/D |
| Limite di conteggio degli incidenti | 1 | 10 | N/D |
| Verifica SSL | o | null | N/D |
| Indirizzo del server proxy | 2 | null | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | 2 | null | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | 3 | null | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto del proxy
Il connettore supporta il proxy.
Connettore query RSA NetWitness
Descrizione
Connettore di query statiche RSA NetWitness.
Parametri del connettore
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| DeviceProductField | 2 | device_product | Il nome del campo utilizzato per determinare il prodotto del dispositivo. |
| EventClassId | 2 | nome | Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo). |
| PythonProcessTimeout | 2 | 60 | Il limite di timeout (in secondi) per il processo Python che esegue lo script corrente. |
| URI del concentratore | 2 | http://x.x.x.x:50105/ | N/D |
| Decodifica URI | 2 | https://x.x.x.x:50102/ | N/D |
| Nome utente | 2 | null | N/D |
| Password | 3 | null | N/D |
| Query | 2 | null | N/D |
| Campo del generatore di regole | 2 | null | N/D |
| Limite conteggio avvisi | 1 | 10 | N/D |
| Max Days Backwards | 1 | 1 | N/D |
| Campo temporale evento | 2 | tempo | N/D |
| Verifica SSL | o | null | N/D |
| Indirizzo del server proxy | 2 | null | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | 2 | null | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | 3 | null | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto del proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.