Stellar Cyber Starlight
Versión de integración: 15.0
Casos prácticos de productos
- Ingiere eventos de seguridad de Stellar Cyber Starlight para usarlos y crear alertas de Google Security Operations. A continuación, en Google SecOps, las alertas se pueden usar para realizar orquestaciones con guías o análisis manuales.
- Realiza búsquedas en Stellar Cyber Starlight.
Permiso de producto
Autenticación básica (nombre de usuario:api_key)
Configurar la integración de Stellar Cyber Starlight en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| Raíz de la API | Cadena | https://{ip address}/connect/api/ | Sí | Raíz de la API de la instancia de Stellar Cyber Starlight. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de Stellar Cyber Starlight. |
| Clave de API | Contraseña | N/A | No | Clave de API de la cuenta de Stellar Cyber Starlight. Este parámetro se usaba para la autenticación básica. Si se proporcionan |
| Token de API | Contraseña | N/A | No | Token de API de la cuenta de Stellar Cyber Starlight. Este parámetro se usa para la autenticación JWT. Si se proporcionan |
| Verificar SSL | Casilla | Desmarcada | No | Si está habilitada, comprueba que el certificado SSL de la conexión al servidor Stellar Cyber Starlight sea válido. |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Ping
Descripción
Prueba la conectividad con Stellar Cyber Starlight con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo (entidad o general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se completa correctamente: Imprime "Successfully connected to the Stellar Cyber Starlight server with the provided connection parameters!" (Te has conectado correctamente al servidor Stellar Cyber Starlight con los parámetros de conexión proporcionados). La acción debería fallar y detener la ejecución de una guía: Si no se resuelve correctamente: Imprime "No se ha podido conectar con el servidor Stellar Cyber Starlight. Error: {0}".format(exception.stacktrace) Si recibes el error 401 para el token de API: Imprime "No se ha podido conectar con el servidor Stellar Cyber Starlight. Se ha proporcionado un token de API o un nombre de usuario no válidos. Valida las credenciales". Si se devuelve el error 401 para la clave de API: Imprime "No se ha podido conectar con el servidor Stellar Cyber Starlight. Se ha proporcionado una clave de API o un nombre de usuario no válidos. Valida las credenciales". |
General |
Búsqueda sencilla
Descripción
Realiza búsquedas sencillas en Stellar Cyber Starlight.
Índices conocidos
| Nombre | Índice |
|---|---|
| Recursos | aella-assets-* |
| Eventos de AWS | aella-cloudtrail-* |
| Eventos de Linux | aella-audit-* |
| Eventos de detección de malware o de IDS basado en aprendizaje automático | aella-maltrace-* |
| Supervisión | aella-ade-* |
| Análisis | aella-scan-* |
| Eventos de seguridad | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| Tráfico | aella-adr-* |
| Usuarios | aella-users-* |
| Eventos de Windows | aella-wineventlog-* |
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | ¿Es Mandatory? | Descripción |
|---|---|---|---|---|
| Índice | Cadena | N/A | Sí | Especifica en qué índice quieres buscar. Puedes consultar una lista de los índices conocidos en la documentación. |
| Consulta | Cadena | N/A | Sí | Especifica el filtro de consulta de la búsqueda. |
| Número máximo de resultados que se devolverán | Entero | 50 | No | Especifica cuántos resultados se deben devolver en la respuesta. |
| Campo de ordenación | Cadena | N/A | No | Especifica el campo que se debe usar para ordenar. |
| Orden de clasificación | DDL | Descendente Valores posibles: Descendente |
No | Especifica el orden de los resultados. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo (entidad o general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si el código de estado es 200 (is_success = true) Imprime "Successfully executed search in Stellar Cyber Starlight." ("Búsqueda ejecutada correctamente en Stellar Cyber Starlight"). Si se devuelve otro código de estado (is_success=false): Imprime "No se ha podido ejecutar la búsqueda en Stellar Cyber Starlight. Motivos: {0}.(lista de errores, causas principales o motivos separados por saltos de línea.) La acción debería fallar y detener la ejecución de una guía: Error crítico, como credenciales incorrectas, no hay conexión con el servidor u otro: Imprime "Error al ejecutar la acción "Búsqueda simple". Motivo: {0}''.format(error.Stacktrace) |
General |
Búsqueda avanzada
Descripción
Realizar una búsqueda avanzada en Stellar Cyber Starlight.
Índices conocidos
| Nombre | Índice |
|---|---|
| Recursos | aella-assets-* |
| Eventos de AWS | aella-cloudtrail-* |
| Eventos de Linux | aella-audit-* |
| Eventos de detección de malware o de IDS basado en aprendizaje automático | aella-maltrace-* |
| Supervisión | aella-ade-* |
| Análisis | aella-scan-* |
| Eventos de seguridad | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| Tráfico | aella-adr-* |
| Usuarios | aella-users-* |
| Eventos de Windows | aella-wineventlog-* |
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Índice | Cadena | N/A | Sí | Especifica en qué índice quieres buscar. Puedes consultar una lista de los índices conocidos en la documentación. |
| Consulta DSL | Cadena | { "size": 1, "from": 0, "query": { "match_all": {} }, "sort": [ { "timestamp": { "order": "asc" } } ] } |
Sí | Especifica el objeto JSON de la consulta DSL que quieras ejecutar. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo (entidad o general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si el código de estado es 200 (is_success = true) Imprime "Successfully executed search in Stellar Cyber Starlight." ("Búsqueda ejecutada correctamente en Stellar Cyber Starlight"). Si se devuelve otro código de estado (is_success=false): Imprime "No se ha podido ejecutar la búsqueda en Stellar Cyber Starlight. Motivos: {0}.(lista de errores, causas principales o motivos separados por saltos de línea.) La acción debería fallar y detener la ejecución de una guía: Error crítico, como credenciales incorrectas, no hay conexión con el servidor u otro: Imprime "Error al ejecutar la acción "Búsqueda avanzada". Motivo: {0}''.format(error.Stacktrace) |
General |
Actualizar evento de seguridad
Descripción
Actualiza el evento de seguridad en Stellar Cyber Starlight.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Índice | Cadena | N/A | Sí | Especifica el índice del evento de seguridad. |
| ID | Cadena | N/A | Sí | Especifica el ID del evento de seguridad. |
| Estado | DDL | Selecciona una opción. Valores posibles: Selecciona una opción. Nueva |
No | Especifica el nuevo estado del evento de seguridad. |
| Comentario | Cadena | N/A | No | Especifica un comentario para el evento de seguridad. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si el código de estado es 200 (is_success = true): "Se ha actualizado correctamente el evento {event_id} en Stellar Cyber Starlight". La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: "Error al ejecutar la acción "Update Security Event". Motivo: {0}''.format(error.Stacktrace) Si se devuelve otro código de estado (is_success=false): error al ejecutar la acción "Update Security Event". Motivo: {text from response} Si no se proporciona ninguno de los parámetros: error al ejecutar la acción "Update Security Event". Motivo: al menos uno de los campos "Estado" o "Comentario" debe tener un valor. |
General |
Conectores
Starlight de Stellar Cyber - Conector de eventos de seguridad
Descripción
Extrae eventos de seguridad de Stellar Cyber Starlight.
Configurar el conector de eventos de seguridad de Stellar Cyber Starlight en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | event_data.event_name | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | https://{ip}/connect/api/ | Sí | Raíz de la API de la instancia de Stellar Cyber Starlight. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de Stellar Cyber Starlight. |
| Clave de API | Contraseña | N/A | No | Clave de API de la cuenta de Stellar Cyber Starlight. Este parámetro se usaba para la autenticación básica. Si se proporcionan |
| Token de API | Contraseña | N/A | No | Token de API de la cuenta de Stellar Cyber Starlight. Este parámetro se usa para la autenticación JWT. Si se proporcionan |
| Gravedad mínima que se va a obtener | Entero | 50 | Sí | La gravedad más baja que se usará para obtener eventos. |
| Fetch Max Hours Backwards | Entero | 1 | No | Número de horas desde las que se deben obtener los eventos. |
| Número máximo de eventos que se van a obtener | Entero | 50 | No | Número de eventos que se procesarán por cada iteración del conector. |
| Usar la lista blanca como lista negra | Casilla | Desmarcada | Sí | Si está habilitada, la lista de permitidos se usará como lista de denegados. |
| Verificar SSL | Casilla | Desmarcada | Sí | Si está habilitada, comprueba que el certificado SSL de la conexión al servidor Stellar Cyber Starlight sea válido. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
| Periodo de relleno | Entero | 0 | No | Periodo de relleno en horas para la ejecución del conector. |
Reglas de conectores
Compatibilidad con proxies
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.