Starlight de Stellar Cyber
Versión de integración: 15.0
Casos de uso del producto
- Ingiere eventos de seguridad de Stellar Cyber Starlight para usarlos y crear alertas de Google Security Operations. A continuación, en Google SecOps, las alertas se pueden usar para realizar orquestaciones con guías o análisis manuales.
- Realiza búsquedas en Stellar Cyber Starlight.
Permiso del producto
Autenticación básica (nombre de usuario:api_key)
Configura la integración de Stellar Cyber Starlight en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| Raíz de la API | String | https://{ip address}/connect/api/ | Sí | Es la raíz de la API de la instancia de Stellar Cyber Starlight. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de Stellar Cyber Starlight. |
| Clave de API | Contraseña | N/A | No | Es la clave de API de la cuenta de Stellar Cyber Starlight. Este parámetro se usaba para la autenticación básica. Si se proporcionan |
| Token de API | Contraseña | N/A | No | Es el token de API de la cuenta de Stellar Cyber Starlight. Este parámetro se usa para la autenticación de JWT. Si se proporcionan |
| Verificar SSL | Casilla de verificación | Desmarcado | No | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Stellar Cyber Starlight sea válido. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Ping
Descripción
Prueba la conectividad con Stellar Cyber Starlight con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo (entidad / general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la operación se realiza correctamente, haz lo siguiente: Imprime "Se conectó correctamente al servidor de Stellar Cyber Starlight con los parámetros de conexión proporcionados". La acción debería fallar y detener la ejecución de la guía: Si no se pudo completar la acción, haz lo siguiente: Imprime "No se pudo conectar al servidor de Stellar Cyber Starlight". Error is {0}".format(exception.stacktrace) Si se devuelve el código 401 para el token de API: Imprime el mensaje "No se pudo establecer conexión con el servidor de Stellar Cyber Starlight. Se proporcionó un token de API o un nombre de usuario no válidos. Valida las credenciales". Si se devuelve el error 401 para la clave de API, haz lo siguiente: Imprime el mensaje "No se pudo establecer conexión con el servidor de Stellar Cyber Starlight. Se proporcionó una clave de API o un nombre de usuario no válidos. Valida las credenciales". |
General |
Búsqueda simple
Descripción
Realiza búsquedas simples en Stellar Cyber Starlight.
Índices conocidos
| Nombre | Índice |
|---|---|
| Recursos | aella-assets-* |
| Eventos de AWS | aella-cloudtrail-* |
| Eventos de Linux | aella-audit-* |
| Eventos de detección de software malicioso o IDS basados en AA | aella-maltrace-* |
| Supervisión | aella-ade-* |
| Análisis | aella-scan-* |
| Eventos de seguridad | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| Tráfico | aella-adr-* |
| Usuarios | aella-users-* |
| Eventos de Windows | aella-wineventlog-* |
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es Obligatorio | Descripción |
|---|---|---|---|---|
| Índice | String | N/A | Sí | Especifica en qué índice deseas buscar. Puedes encontrar una lista de los índices conocidos en la documentación. |
| Consulta | String | N/A | Sí | Especifica el filtro de la búsqueda. |
| Cantidad máxima de resultados para devolver | Número entero | 50 | No | Especifica cuántos resultados se deben devolver en la respuesta. |
| Campo de orden | String | N/A | No | Especifica el campo que se debe usar para ordenar. |
| Orden de clasificación | DDL | Descendente Valores posibles: Descendente |
No | Especifica el orden de clasificación del resultado. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo (entidad / general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si status code == 200 (is_success = true) Imprime "Successfully executed search in Stellar Cyber Starlight". Si hay otro código de estado (is_success=false): Imprime "Action wasn't able to execute search in Stellar Cyber Starlight. Motivos: {0}.(Lista separada por saltos de línea de error/causa_raíz/motivo). La acción debería fallar y detener la ejecución de la guía: Error fatal de Ii, como credenciales incorrectas, sin conexión al servidor, otro: Imprime "Error executing action "Simple Search". Reason: {0}''.format(error.Stacktrace) |
General |
Búsqueda avanzada
Descripción
Realiza una búsqueda avanzada en Stellar Cyber Starlight.
Índices conocidos
| Nombre | Índice |
|---|---|
| Recursos | aella-assets-* |
| Eventos de AWS | aella-cloudtrail-* |
| Eventos de Linux | aella-audit-* |
| Eventos de detección de software malicioso o IDS basados en AA | aella-maltrace-* |
| Supervisión | aella-ade-* |
| Análisis | aella-scan-* |
| Eventos de seguridad | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| Tráfico | aella-adr-* |
| Usuarios | aella-users-* |
| Eventos de Windows | aella-wineventlog-* |
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Índice | String | N/A | Sí | Especifica en qué índice deseas buscar. Puedes encontrar una lista de los índices conocidos en la documentación. |
| Consulta de DSL | String | { "size": 1, "from": 0, "query": { "match_all": {} }, "sort": [ { "timestamp": { "order": "asc" } } ] } |
Sí | Especifica el objeto JSON de la consulta de DSL que deseas ejecutar. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo (entidad / general) |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si status code == 200 (is_success = true) Imprime "Successfully executed search in Stellar Cyber Starlight". Si hay otro código de estado (is_success=false): Imprime "Action wasn't able to execute search in Stellar Cyber Starlight. Motivos: {0}.(Lista separada por saltos de línea de error/causa_raíz/motivo). La acción debería fallar y detener la ejecución de la guía: Error fatal de Ii, como credenciales incorrectas, sin conexión al servidor, otro: Imprime "Error al ejecutar la acción "Búsqueda avanzada". Reason: {0}''.format(error.Stacktrace) |
General |
Actualiza el evento de seguridad
Descripción
Actualiza el evento de seguridad en Stellar Cyber Starlight.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Índice | String | N/A | Sí | Especifica el índice del evento de seguridad. |
| ID | String | N/A | Sí | Especifica el ID del evento de seguridad. |
| Estado | DDL | Selecciona una opción Valores posibles: Selecciona una opción Nuevo |
No | Especifica el nuevo estado del evento de seguridad. |
| Comentario | String | N/A | No | Especifica un comentario para el evento de seguridad. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si el código de estado es 200 (is_success = true): "Se actualizó correctamente el evento {event_id} en Stellar Cyber Starlight". La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Se produjo un error al ejecutar la acción "Actualizar evento de seguridad". Motivo: {0}''.format(error.Stacktrace) Si hay otro código de estado (is_success=false): Se produjo un error al ejecutar la acción "Update Security Event". Motivo: {texto de la respuesta} Si no se proporciona ninguno de los parámetros, se producirá un error al ejecutar la acción "Actualizar evento de seguridad". Motivo: Al menos uno de los campos "Estado" o "Comentario" debe tener un valor. |
General |
Conectores
Stellar Cyber Starlight: conector de eventos de seguridad
Descripción
Extrae eventos de seguridad de Stellar Cyber Starlight.
Configura el conector de eventos de seguridad de Stellar Cyber Starlight en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Nombre del producto | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | event_data.event_name | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
| Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | https://{ip}/connect/api/ | Sí | Es la raíz de la API de la instancia de Stellar Cyber Starlight. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de Stellar Cyber Starlight. |
| Clave de API | Contraseña | N/A | No | Es la clave de API de la cuenta de Stellar Cyber Starlight. Este parámetro se usaba para la autenticación básica. Si se proporcionan |
| Token de API | Contraseña | N/A | No | Es el token de API de la cuenta de Stellar Cyber Starlight. Este parámetro se usa para la autenticación de JWT. Si se proporcionan |
| Gravedad más baja que se recuperará | Número entero | 50 | Sí | Es la gravedad más baja que se usará para recuperar eventos. |
| Recuperar horas máximas hacia atrás | Número entero | 1 | No | Cantidad de horas desde las que se recuperan los eventos. |
| Cantidad máxima de eventos para recuperar | Número entero | 50 | No | Cantidad de eventos que se procesarán por iteración del conector. |
| Usar la lista blanca como lista negra | Casilla de verificación | Desmarcado | Sí | Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas. |
| Verificar SSL | Casilla de verificación | Desmarcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Stellar Cyber Starlight sea válido. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
| Período de relleno | Número entero | 0 | No | Es el período de relleno en horas para la ejecución del conector. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.