Stellar Cyber Starlight
Integrationsversion: 15.0
Anwendungsfälle für Produkte
- Stellar Cyber Starlight-Sicherheitsereignisse aufnehmen, um damit Google Security Operations-Benachrichtigungen zu erstellen. Als Nächstes können in Google SecOps Benachrichtigungen verwendet werden, um Orchestrierungen mit Playbooks oder manuelle Analysen durchzuführen.
- Suchen Sie in Stellar Cyber Starlight.
Produktberechtigung
Basisauthentifizierung (Nutzername:api_key)
Stellar Cyber Starlight-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| API-Stamm | String | https://{ip address}/connect/api/ | Ja | API-Stammverzeichnis der Stellar Cyber Starlight-Instanz. |
| Nutzername | String | – | Ja | Nutzername des Stellar Cyber Starlight-Kontos. |
| API-Schlüssel | Passwort | – | Nein | API-Schlüssel des Stellar Cyber Starlight-Kontos. Dieser Parameter wurde für die Basisauthentifizierung verwendet. Wenn sowohl |
| API-Token | Passwort | – | Nein | API-Token des Stellar Cyber Starlight-Kontos. Dieser Parameter wird für die JWT-Authentifizierung verwendet. Wenn sowohl |
| SSL überprüfen | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Stellar Cyber Starlight-Server gültig ist. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu Stellar Cyber Starlight mit Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ (Entität / Allgemein) |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen: Bei Erfolg: Geben Sie „Successfully connected to the Stellar Cyber Starlight server with the provided connection parameters!“ aus. Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Wenn das nicht funktioniert: Geben Sie „Failed to connect to the Stellar Cyber Starlight server!“ aus. Fehler: {0}".format(exception.stacktrace) Wenn 401 für API-Token: Geben Sie Folgendes aus: „Failed to connect to the Stellar Cyber Starlight server. Es wurde ein ungültiges API-Token oder ein ungültiger Nutzername angegeben. Bitte überprüfen Sie die Anmeldedaten.“ Wenn der API-Schlüssel den Fehlercode 401 zurückgibt: Geben Sie Folgendes aus: „Failed to connect to the Stellar Cyber Starlight server. Es wurde ein ungültiger API-Schlüssel oder Nutzername angegeben. Bitte überprüfen Sie die Anmeldedaten.“ |
Allgemein |
Einfache Suche
Beschreibung
Einfache Suche in Stellar Cyber Starlight durchführen
Bekannte Indexe
| Name | Index |
|---|---|
| Assets | aella-assets-* |
| AWS-Events | aella-cloudtrail-* |
| Linux-Ereignisse | aella-audit-* |
| ML-IDS-/Malware-Erkennungsereignisse | aella-maltrace-* |
| Monitoring | aella-ade-* |
| Scans | aella-scan-* |
| Sicherheitsereignisse | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| Traffic | aella-adr-* |
| Nutzer | aella-users-* |
| Windows-Ereignisse | aella-wineventlog-* |
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist Mandatory | Beschreibung |
|---|---|---|---|---|
| Index | String | – | Ja | Geben Sie an, in welchem Index Sie suchen möchten. Eine Liste der bekannten Indexe finden Sie in der Dokumentation. |
| Abfrage | String | – | Ja | Geben Sie den Abfragefilter für die Suche an. |
| Maximale Anzahl zurückzugebender Ergebnisse | Ganzzahl | 50 | Nein | Geben Sie an, wie viele Ergebnisse in der Antwort zurückgegeben werden sollen. |
| Sortierfeld | String | – | Nein | Geben Sie das Feld an, das für die Sortierung verwendet werden soll. |
| Sortierreihenfolge | DDL | Absteigend Mögliche Werte: Absteigend |
Nein | Gibt die Sortierreihenfolge für das Ergebnis an. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ (Entität / Allgemein) |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen: Wenn status_code == 200 (is_success = true) Gib „Successfully executed search in Stellar Cyber Starlight.“ aus. Wenn ein anderer Statuscode (is_success=false) zurückgegeben wird: Gib Folgendes aus: „Die Aktion konnte die Suche in Stellar Cyber Starlight nicht ausführen. Gründe: {0}.(new line separated list of error/root_cause/reason.) Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Ii. Schwerwiegender Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: Gib „Fehler beim Ausführen der Aktion ‚Einfache Suche‘“ aus. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Erweiterte Suche
Beschreibung
Führen Sie eine erweiterte Suche in Stellar Cyber Starlight durch.
Bekannte Indexe
| Name | Index |
|---|---|
| Assets | aella-assets-* |
| AWS-Events | aella-cloudtrail-* |
| Linux-Ereignisse | aella-audit-* |
| ML-IDS-/Malware-Erkennungsereignisse | aella-maltrace-* |
| Monitoring | aella-ade-* |
| Scans | aella-scan-* |
| Sicherheitsereignisse | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| Traffic | aella-adr-* |
| Nutzer | aella-users-* |
| Windows-Ereignisse | aella-wineventlog-* |
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Index | String | – | Ja | Geben Sie an, in welchem Index Sie suchen möchten. Eine Liste der bekannten Indexe finden Sie in der Dokumentation. |
| DSL-Abfrage | String | { "size": 1, "from": 0, "query": { "match_all": {} }, „sort“: [ { "timestamp": { "order": "asc" } } ] } |
Ja | Geben Sie das JSON-Objekt der DSL-Abfrage an, die Sie ausführen möchten. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ (Entität / Allgemein) |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen: Wenn status_code == 200 (is_success = true) Gib „Successfully executed search in Stellar Cyber Starlight.“ aus. Wenn ein anderer Statuscode (is_success=false) zurückgegeben wird: Gib Folgendes aus: „Die Aktion konnte die Suche in Stellar Cyber Starlight nicht ausführen. Gründe: {0}.(new line separated list of error/root_cause/reason.) Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Ii. Schwerwiegender Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: Gib „Fehler beim Ausführen der Aktion ‚Erweiterte Suche‘“ aus. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Sicherheitsereignis aktualisieren
Beschreibung
Aktualisieren Sie das Sicherheitsereignis in Stellar Cyber Starlight.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Index | String | – | Ja | Geben Sie den Index des Sicherheitsereignisses an. |
| ID | String | – | Ja | Geben Sie die ID des Sicherheitsereignisses an. |
| Status | DDL | Wählen Sie eine Option aus. Mögliche Werte: Wählen Sie eine Option aus. Neu |
Nein | Geben Sie den neuen Status für das Sicherheitsereignis an. |
| Kommentar | String | – | Nein | Geben Sie einen Kommentar für das Sicherheitsereignis an. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn status_code == 200 (is_success = true): „Successfully updated event {event_id} in Stellar Cyber Starlight.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Sicherheitsereignis aktualisieren‘. Grund: {0}''.format(error.Stacktrace) Wenn ein anderer Statuscode (is_success=false) zurückgegeben wird: Fehler beim Ausführen der Aktion „Sicherheitsereignis aktualisieren“. Grund: {text from response} Wenn keiner der Parameter angegeben wird:Fehler beim Ausführen der Aktion „Sicherheitsereignis aktualisieren“. Grund: Mindestens eines der Felder „Status“ oder „Kommentar“ muss einen Wert haben. |
Allgemein |
Connectors
Stellar Cyber Starlight – Security Events Connector
Beschreibung
Sicherheitsereignisse aus Stellar Cyber Starlight abrufen.
Stellar Cyber Starlight – Security Events Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | event_data.event_name | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https://{ip}/connect/api/ | Ja | API-Stammverzeichnis der Stellar Cyber Starlight-Instanz. |
| Nutzername | String | – | Ja | Nutzername des Stellar Cyber Starlight-Kontos. |
| API-Schlüssel | Passwort | – | Nein | API-Schlüssel des Stellar Cyber Starlight-Kontos. Dieser Parameter wurde für die Basisauthentifizierung verwendet. Wenn sowohl |
| API-Token | Passwort | – | Nein | API-Token des Stellar Cyber Starlight-Kontos. Dieser Parameter wird für die JWT-Authentifizierung verwendet. Wenn sowohl |
| Niedrigster abzurufender Schweregrad | Ganzzahl | 50 | Ja | Niedrigster Schweregrad, der zum Abrufen von Ereignissen verwendet wird. |
| Maximale Stunden rückwärts abrufen | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Ereignisse abgerufen werden sollen. |
| Max. abzurufende Ereignisse | Ganzzahl | 50 | Nein | Anzahl der Ereignisse, die pro Connector-Iteration verarbeitet werden sollen. |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Stellar Cyber Starlight-Server gültig ist. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
| Padding-Zeitraum | Ganzzahl | 0 | Nein | Pufferzeit in Stunden für die Ausführung des Connectors. |
Connector-Regeln
Proxyunterstützung.
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten