Stellar Cyber Starlight
Versi integrasi: 15.0
Kasus Penggunaan Produk
- Menyerap peristiwa keamanan Stellar Cyber Starlight untuk menggunakannya dalam membuat pemberitahuan Google Security Operations. Selanjutnya, di Google SecOps, pemberitahuan dapat digunakan untuk melakukan orkestrasi dengan playbook atau analisis manual.
- Lakukan penelusuran di Stellar Cyber Starlight.
Izin Produk
Autentikasi dasar (nama pengguna:api_key)
Mengonfigurasi integrasi Stellar Cyber Starlight di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| Root API | String | https://{ip address}/connect/api/ | Ya | Root API instance Stellar Cyber Starlight. |
| Nama pengguna | String | T/A | Ya | Nama pengguna akun Stellar Cyber Starlight. |
| Kunci API | Sandi | T/A | Tidak | Kunci API akun Stellar Cyber Starlight. Parameter ini digunakan untuk Autentikasi Dasar. Jika |
| Token API | Sandi | T/A | Tidak | Token API akun Stellar Cyber Starlight. Parameter ini digunakan untuk Autentikasi JWT. Jika |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server Stellar Cyber Starlight valid |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Tindakan
Ping
Deskripsi
Uji konektivitas ke Stellar Cyber Starlight dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.
Parameter
T/A
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis (Entitas / Umum) |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: Cetak "Successfully connected to the Stellar Cyber Starlight server with the provided connection parameters!" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil: Mencetak "Gagal terhubung ke server Stellar Cyber Starlight! Error adalah {0}".format(exception.stacktrace) Jika 401 untuk token API: Mencetak "Gagal terhubung ke server Stellar Cyber Starlight. Token API atau nama pengguna yang diberikan tidak valid. Harap validasi kredensial." Jika 401 untuk kunci API: Mencetak "Gagal terhubung ke server Stellar Cyber Starlight. Kunci API atau nama pengguna yang diberikan tidak valid. Harap validasi kredensial." |
Umum |
Penelusuran Sederhana
Deskripsi
Lakukan penelusuran sederhana di Stellar Cyber Starlight.
Indeks yang Diketahui
| Nama | Indeks |
|---|---|
| Aset | aella-assets-* |
| Acara AWS | aella-cloudtrail-* |
| Acara Linux | aella-audit-* |
| Peristiwa Deteksi Malware/ML-IDS | aella-maltrace-* |
| Pemantauan | aella-ade-* |
| Pemindaian | aella-scan-* |
| Peristiwa Keamanan | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| Traffic | aella-adr-* |
| Pengguna | aella-users-* |
| Peristiwa Windows | aella-wineventlog-* |
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Mengisi | Deskripsi |
|---|---|---|---|---|
| Indeks | String | T/A | Ya | Tentukan indeks yang ingin Anda telusuri. Anda dapat menemukan daftar indeks yang diketahui dalam dokumentasi. |
| Kueri | String | T/A | Ya | Tentukan filter kueri untuk penelusuran. |
| Jumlah Hasil Maksimum yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah hasil yang akan ditampilkan dalam respons. |
| Kolom Pengurutan | String | T/A | Tidak | Tentukan kolom yang akan digunakan untuk pengurutan. |
| Tata Urutan | DDL | Menurun Nilai yang Mungkin: Menurun |
Tidak | Tentukan urutan pengurutan untuk hasil. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis (Entitas / Umum) |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: If status code == 200 (is_success = true) Mencetak "Successfully executed search in Stellar Cyber Starlight". Jika kode status lainnya (is_success=false): Mencetak "Tindakan tidak dapat menjalankan penelusuran di Stellar Cyber Starlight. Alasan: {0}.(daftar error/penyebab utama/alasan yang dipisahkan dengan baris baru.) Tindakan akan gagal dan menghentikan eksekusi playbook: Error fatal, seperti kredensial salah, tidak ada koneksi ke server , lainnya: Mencetak "Error saat menjalankan tindakan "Simple Search". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Penelusuran Lanjutan
Deskripsi
Lakukan penelusuran lanjutan di Stellar Cyber Starlight.
Indeks yang Diketahui
| Nama | Indeks |
|---|---|
| Aset | aella-assets-* |
| Acara AWS | aella-cloudtrail-* |
| Acara Linux | aella-audit-* |
| Peristiwa Deteksi Malware/ML-IDS | aella-maltrace-* |
| Pemantauan | aella-ade-* |
| Pemindaian | aella-scan-* |
| Peristiwa Keamanan | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| Traffic | aella-adr-* |
| Pengguna | aella-users-* |
| Peristiwa Windows | aella-wineventlog-* |
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Indeks | String | T/A | Ya | Tentukan indeks yang ingin Anda telusuri. Anda dapat menemukan daftar indeks yang diketahui dalam dokumentasi. |
| Kueri DSL | String | { "size": 1, "from": 0, "query": { "match_all": {} }, "sort": [ { "timestamp": { "order": "asc" } } ] } |
Ya | Tentukan objek JSON kueri DSL yang ingin Anda jalankan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis (Entitas / Umum) |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: If status code == 200 (is_success = true) Mencetak "Successfully executed search in Stellar Cyber Starlight". Jika kode status lainnya (is_success=false): Mencetak "Tindakan tidak dapat menjalankan penelusuran di Stellar Cyber Starlight. Alasan: {0}.(daftar error/penyebab utama/alasan yang dipisahkan dengan baris baru.) Tindakan akan gagal dan menghentikan eksekusi playbook: Error fatal, seperti kredensial salah, tidak ada koneksi ke server , lainnya: Mencetak "Error saat menjalankan tindakan "Penelusuran Lanjutan". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Memperbarui Peristiwa Keamanan
Deskripsi
Memperbarui peristiwa keamanan di Stellar Cyber Starlight.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Indeks | String | T/A | Ya | Tentukan indeks peristiwa keamanan. |
| ID | String | T/A | Ya | Tentukan ID peristiwa keamanan. |
| Status | DDL | Pilih Satu Nilai yang Mungkin: Pilih Satu Baru |
Tidak | Tentukan status baru untuk peristiwa keamanan. |
| Komentar | String | T/A | Tidak | Tentukan komentar untuk peristiwa keamanan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status == 200 (is_success = true): "Berhasil memperbarui peristiwa {event_id} di Stellar Cyber Starlight". Tindakan akan gagal dan menghentikan eksekusi playbook: jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "Perbarui Peristiwa Keamanan". Alasan: {0}''.format(error.Stacktrace) Jika kode status lainnya (is_success=false): Error saat menjalankan tindakan "Perbarui Peristiwa Keamanan". Alasan: {text from response} Jika tidak ada parameter yang diberikan: Error saat menjalankan tindakan "Perbarui Peristiwa Keamanan". Alasan: setidaknya salah satu "Status", "Komentar" harus memiliki nilai. |
Umum |
Konektor
Stellar Cyber Starlight - Security Events Connector
Deskripsi
Tarik peristiwa keamanan dari Stellar Cyber Starlight.
Mengonfigurasi Stellar Cyber Starlight - Security Events Connector di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | Nama Produk | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | event_data.event_name | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
| Nama Kolom Lingkungan | String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
| Pola Regex Lingkungan | String | .* | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | https://{ip}/connect/api/ | Ya | Root API instance Stellar Cyber Starlight. |
| Nama pengguna | String | T/A | Ya | Nama pengguna akun Stellar Cyber Starlight. |
| Kunci API | Sandi | T/A | Tidak | Kunci API akun Stellar Cyber Starlight. Parameter ini digunakan untuk Autentikasi Dasar. Jika |
| Token API | Sandi | T/A | Tidak | Token API akun Stellar Cyber Starlight. Parameter ini digunakan untuk Autentikasi JWT. Jika |
| Tingkat Keparahan Terendah yang Akan Diambil | Bilangan bulat | 50 | Ya | Tingkat keparahan terendah yang akan digunakan untuk mengambil peristiwa. |
| Mengambil Mundur Jam Maksimum | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat pengambilan peristiwa. |
| Jumlah Maksimum Peristiwa yang Akan Diambil | Bilangan bulat | 50 | Tidak | Jumlah peristiwa yang akan diproses per satu iterasi konektor. |
| Menggunakan daftar yang diizinkan sebagai daftar blokir | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, daftar yang diizinkan akan digunakan sebagai daftar yang diblokir. |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server Stellar Cyber Starlight valid. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
| Periode Pengisian | Bilangan bulat | 0 | Tidak | Periode padding dalam jam untuk eksekusi konektor. |
Aturan konektor
Dukungan proxy
Konektor mendukung proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.