Stellar Cyber Starlight
Version de l'intégration : 15.0
Cas d'utilisation des produits
- Ingérez les événements de sécurité Stellar Cyber Starlight pour les utiliser afin de créer des alertes Google Security Operations. Ensuite, dans Google SecOps, les alertes peuvent être utilisées pour effectuer des orchestrations avec des playbooks ou des analyses manuelles.
- Effectuez des recherches dans Stellar Cyber Starlight.
Autorisation du produit
Authentification de base (nom d'utilisateur : api_key)
Configurer l'intégration de Stellar Cyber Starlight dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| Racine de l'API | Chaîne | https://{ip address}/connect/api/ | Oui | Racine de l'API de l'instance Stellar Cyber Starlight. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Stellar Cyber Starlight. |
| Clé API | Mot de passe | N/A | Non | Clé API du compte Stellar Cyber Starlight. Ce paramètre était utilisé pour l'authentification de base. Si les options |
| Jeton d'API | Mot de passe | N/A | Non | Jeton d'API du compte Stellar Cyber Starlight. Ce paramètre est utilisé pour l'authentification JWT. Si les options |
| Vérifier le protocole SSL | Case à cocher | Décochée | Non | Si cette option est activée, vérifiez que le certificat SSL de la connexion au serveur Stellar Cyber Starlight est valide. |
| Exécuter à distance | Case à cocher | Décochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Actions
Ping
Description
Testez la connectivité à Stellar Cyber Starlight avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Paramètres
N/A
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur / Description | Type (entité / général) |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : Imprimez "Successfully connected to the Stellar Cyber Starlight server with the provided connection parameters!" (Connexion au serveur Stellar Cyber Starlight réussie avec les paramètres de connexion fournis !) L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : Le message "Échec de la connexion au serveur Stellar Cyber Starlight ! Error is {0}".format(exception.stacktrace) Si le code 401 s'affiche pour le jeton d'API : Imprimez "Échec de la connexion au serveur Stellar Cyber Starlight. Nom d'utilisateur ou jeton d'API non valides. Veuillez valider les identifiants." Si le code d'erreur 401 s'affiche pour la clé API : Imprimez "Échec de la connexion au serveur Stellar Cyber Starlight. Clé API ou nom d'utilisateur non valides. Veuillez valider les identifiants." |
Général |
Recherche simple
Description
Effectuez une recherche simple dans Stellar Cyber Starlight.
Index connus
| Nom | Index |
|---|---|
| Éléments | aella-assets-* |
| Événements AWS | aella-cloudtrail-* |
| Événements Linux | aella-audit-* |
| Événements de détection de logiciels malveillants/IDS basés sur le ML | aella-maltrace-* |
| Surveillance | aella-ade-* |
| Analyses | aella-scan-* |
| Événements liés à la sécurité | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| Trafic | aella-adr-* |
| Utilisateurs | aella-users-* |
| Événements Windows | aella-wineventlog-* |
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Mandatory | Description |
|---|---|---|---|---|
| Index | Chaîne | N/A | Oui | Spécifiez l'index dans lequel vous souhaitez effectuer la recherche. Vous trouverez la liste des index connus dans la documentation. |
| Requête | Chaîne | N/A | Oui | Spécifiez le filtre de requête pour la recherche. |
| Nombre maximal de résultats à renvoyer | Integer | 50 | Non | Spécifiez le nombre de résultats à renvoyer dans la réponse. |
| Champ de tri | Chaîne | N/A | Non | Spécifiez le champ à utiliser pour le tri. |
| Ordre de tri | LDD | Décroissant Valeurs possibles : Décroissant |
Non | Spécifiez l'ordre de tri des résultats. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type (entité / général) |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état est égal à 200 (is_success = true) Imprimez "La recherche a été exécutée avec succès dans Stellar Cyber Starlight." Si un autre code d'état (is_success=false) : Imprimez "L'action n'a pas pu exécuter la recherche dans Stellar Cyber Starlight. Motifs : {0}.(liste des erreurs/causes premières/motifs séparés par une nouvelle ligne) L'action doit échouer et arrêter l'exécution d'un playbook : Erreur fatale, comme des identifiants incorrects, une absence de connexion au serveur, autre : Imprimez "Erreur lors de l'exécution de l'action "Recherche simple". Raison : {0}''.format(error.Stacktrace) |
Général |
Recherche avancée
Description
Effectuez une recherche avancée dans Stellar Cyber Starlight.
Index connus
| Nom | Index |
|---|---|
| Éléments | aella-assets-* |
| Événements AWS | aella-cloudtrail-* |
| Événements Linux | aella-audit-* |
| Événements de détection de logiciels malveillants/IDS basés sur le ML | aella-maltrace-* |
| Surveillance | aella-ade-* |
| Analyses | aella-scan-* |
| Événements liés à la sécurité | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| Trafic | aella-adr-* |
| Utilisateurs | aella-users-* |
| Événements Windows | aella-wineventlog-* |
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Index | Chaîne | N/A | Oui | Spécifiez l'index dans lequel vous souhaitez effectuer la recherche. Vous trouverez la liste des index connus dans la documentation. |
| Requête DSL | Chaîne | { "size": 1, "from": 0, "query": { "match_all": {} }, "sort": [ { "timestamp": { "order": "asc" } } ] } |
Oui | Spécifiez l'objet JSON de la requête DSL que vous souhaitez exécuter. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
Mur des cas
| Type de résultat | Valeur / Description | Type (entité / général) |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état est égal à 200 (is_success = true) Imprimez "La recherche a été exécutée avec succès dans Stellar Cyber Starlight." Si un autre code d'état (is_success=false) : Imprimez "L'action n'a pas pu exécuter la recherche dans Stellar Cyber Starlight. Motifs : {0}.(liste des erreurs/causes premières/motifs séparés par une nouvelle ligne) L'action doit échouer et arrêter l'exécution d'un playbook : Erreur fatale, comme des identifiants incorrects, une absence de connexion au serveur, autre : Imprime "Erreur lors de l'exécution de l'action "Recherche avancée". Raison : {0}''.format(error.Stacktrace) |
Général |
Mettre à jour un événement de sécurité
Description
Mettez à jour un événement de sécurité dans Stellar Cyber Starlight.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Index | Chaîne | N/A | Oui | Spécifiez l'index de l'événement de sécurité. |
| ID | Chaîne | N/A | Oui | Spécifiez l'ID de l'événement de sécurité. |
| État | LDD | Sélectionnez une réponse Valeurs possibles : Sélectionnez une réponse Nouveau |
Non | Spécifiez le nouvel état de l'événement de sécurité. |
| Commentaire | Chaîne | N/A | Non | Saisissez un commentaire pour l'événement de sécurité. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état est égal à 200 (is_success = true) : "L'événement {event_id} a été mis à jour dans Stellar Cyber Starlight.". L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale se produit (par exemple, des identifiants incorrects, aucune connexion au serveur, etc.) : "Erreur lors de l'exécution de l'action "Mettre à jour l'événement de sécurité". Raison : {0}''.format(error.Stacktrace) Si un autre code d'état (is_success=false) s'affiche : erreur lors de l'exécution de l'action "Mettre à jour l'événement de sécurité". Motif : {text from response} Si aucun paramètre n'est fourni : erreur lors de l'exécution de l'action "Mettre à jour l'événement de sécurité". Motif : au moins l'un des champs "État" ou "Commentaire" doit comporter une valeur. |
Général |
Connecteurs
Stellar Cyber Starlight : connecteur d'événements de sécurité
Description
Extrayez les événements de sécurité de Stellar Cyber Starlight.
Configurer le connecteur d'événements de sécurité Stellar Cyber Starlight dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | Nom du produit | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | event_data.event_name | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final. |
| Délai avant expiration du script (en secondes) | Integer | 180 | Oui | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | https://{ip}/connect/api/ | Oui | Racine de l'API de l'instance Stellar Cyber Starlight. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte Stellar Cyber Starlight. |
| Clé API | Mot de passe | N/A | Non | Clé API du compte Stellar Cyber Starlight. Ce paramètre était utilisé pour l'authentification de base. Si les options |
| Jeton d'API | Mot de passe | N/A | Non | Jeton d'API du compte Stellar Cyber Starlight. Ce paramètre est utilisé pour l'authentification JWT. Si les options |
| Gravité la plus faible à récupérer | Integer | 50 | Oui | Niveau de gravité le plus bas utilisé pour récupérer les événements. |
| Récupérer les heures Max en arrière | Integer | 1 | Non | Nombre d'heures à partir desquelles récupérer les événements. |
| Nombre maximal d'événements à récupérer | Integer | 50 | Non | Nombre d'événements à traiter par itération du connecteur. |
| Utiliser la liste blanche comme liste noire | Case à cocher | Décochée | Oui | Si cette option est activée, la liste blanche sera utilisée comme liste noire. |
| Vérifier le protocole SSL | Case à cocher | Décochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Stellar Cyber Starlight est valide. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
| Période de marge | Integer | 0 | Non | Période de marge en heures pour l'exécution du connecteur. |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.