Stellar Cyber Starlight
Versione integrazione: 15.0
Casi d'uso del prodotto
- Inserisci gli eventi di sicurezza di Stellar Cyber Starlight per utilizzarli per creare avvisi di Google Security Operations. Successivamente, in Google SecOps, gli avvisi possono essere utilizzati per eseguire orchestrazioni con playbook o analisi manuali.
- Esegui ricerche in Stellar Cyber Starlight.
Autorizzazione del prodotto
Autenticazione di base (nome utente:api_key)
Configura l'integrazione di Stellar Cyber Starlight in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Root API | Stringa | https://{ip address}/connect/api/ | Sì | Radice API dell'istanza Stellar Cyber Starlight. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Stellar Cyber Starlight. |
| Chiave API | Password | N/D | No | Chiave API dell'account Stellar Cyber Starlight. Questo parametro veniva utilizzato per l'autenticazione di base. Se vengono forniti sia |
| Token API | Password | N/D | No | Token API dell'account Stellar Cyber Starlight. Questo parametro viene utilizzato per l'autenticazione JWT. Se vengono forniti sia |
| Verifica SSL | Casella di controllo | Deselezionata | No | Se abilitato, verifica che il certificato SSL per la connessione al server Stellar Cyber Starlight sia valido |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
Dindin
Descrizione
Testa la connettività a Stellar Cyber Starlight con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo (entità / generale) |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: Stampa "Connessione al server Stellar Cyber Starlight riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: In caso contrario: Stampa "Failed to connect to the Stellar Cyber Starlight server! Error is {0}".format(exception.stacktrace) Se viene visualizzato l'errore 401 per il token API: Stampa "Impossibile connettersi al server Stellar Cyber Starlight. Token API o nome utente non validi. Convalida le credenziali." Se l'errore 401 riguarda la chiave API: Stampa "Impossibile connettersi al server Stellar Cyber Starlight. Chiave API o nome utente forniti non validi. Convalida le credenziali." |
Generale |
Ricerca semplice
Descrizione
Esegui una ricerca semplice in Stellar Cyber Starlight.
Indici noti
| Nome | Indice |
|---|---|
| Asset | aella-assets-* |
| Eventi AWS | aella-cloudtrail-* |
| Eventi Linux | aella-audit-* |
| Eventi di rilevamento di ML-IDS/malware | aella-maltrace-* |
| Monitoraggio | aella-ade-* |
| Scansioni | aella-scan-* |
| Eventi di sicurezza | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| Traffico | aella-adr-* |
| Utenti | aella-users-* |
| Eventi Windows | aella-wineventlog-* |
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È Mandatory | Descrizione |
|---|---|---|---|---|
| Indice | Stringa | N/D | Sì | Specifica in quale indice vuoi eseguire la ricerca. Puoi trovare un elenco degli indici noti nella documentazione. |
| Query | Stringa | N/D | Sì | Specifica il filtro query per la ricerca. |
| Numero massimo di risultati da restituire | Numero intero | 50 | No | Specifica il numero di risultati da restituire nella risposta. |
| Campo di ordinamento | Stringa | N/D | No | Specifica il campo da utilizzare per l'ordinamento. |
| Ordinamento | DDL | In ordine decrescente Valori possibili: Decrescente |
No | Specifica l'ordinamento del risultato. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo (entità / generale) |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: If status code == 200 (is_success = true) Stampa "Successfully executed search in Stellar Cyber Starlight." (Ricerca eseguita correttamente in Stellar Cyber Starlight). Se altro codice di stato (is_success=false): Stampa "Action wasn't able to execute search in Stellar Cyber Starlight. Motivi: {0}.(elenco di errori/cause principali/motivi separati da una nuova riga.) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Errore irreversibile, ad esempio credenziali errate, nessuna connessione al server , altro: Stampa "Errore durante l'esecuzione dell'azione "Ricerca semplice". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Ricerca avanzata
Descrizione
Esegui la ricerca avanzata in Stellar Cyber Starlight.
Indici noti
| Nome | Indice |
|---|---|
| Asset | aella-assets-* |
| Eventi AWS | aella-cloudtrail-* |
| Eventi Linux | aella-audit-* |
| Eventi di rilevamento di ML-IDS/malware | aella-maltrace-* |
| Monitoraggio | aella-ade-* |
| Scansioni | aella-scan-* |
| Eventi di sicurezza | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| Traffico | aella-adr-* |
| Utenti | aella-users-* |
| Eventi Windows | aella-wineventlog-* |
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Indice | Stringa | N/D | Sì | Specifica in quale indice vuoi eseguire la ricerca. Puoi trovare un elenco degli indici noti nella documentazione. |
| Query DSL | Stringa | { "size": 1, "from": 0, "query": { "match_all": {} }, "sort": [ { "timestamp": { "order": "asc" } } ] } |
Sì | Specifica l'oggetto JSON della query DSL che vuoi eseguire. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo (entità / generale) |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: If status code == 200 (is_success = true) Stampa "Successfully executed search in Stellar Cyber Starlight." (Ricerca eseguita correttamente in Stellar Cyber Starlight). Se altro codice di stato (is_success=false): Stampa "Action wasn't able to execute search in Stellar Cyber Starlight. Motivi: {0}.(elenco di errori/cause principali/motivi separati da una nuova riga.) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Errore irreversibile, ad esempio credenziali errate, nessuna connessione al server , altro: Stampa "Errore durante l'esecuzione dell'azione "Ricerca avanzata". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Aggiorna evento di sicurezza
Descrizione
Aggiorna l'evento di sicurezza in Stellar Cyber Starlight.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Indice | Stringa | N/D | Sì | Specifica l'indice dell'evento di sicurezza. |
| ID | Stringa | N/D | Sì | Specifica l'ID dell'evento di sicurezza. |
| Stato | DDL | Selezionane uno Valori possibili: Selezionane uno Nuovo |
No | Specifica il nuovo stato per l'evento di sicurezza. |
| Commento | Stringa | N/D | No | Specifica un commento per l'evento di sicurezza. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: If status code == 200 (is_success = true): "Successfully updated event {event_id} in Stellar Cyber Starlight.". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: if fatal error, like wrong credentials, no connection to server, other: "Error executing action "Update Security Event". Motivo: {0}''.format(error.Stacktrace) Se altro codice di stato (is_success=false): errore durante l'esecuzione dell'azione "Aggiorna evento di sicurezza". Motivo: {text from response} Se non viene fornito alcun parametro: errore durante l'esecuzione dell'azione "Aggiorna evento di sicurezza". Motivo: almeno uno dei campi "Stato" e "Commento" deve avere un valore. |
Generale |
Connettori
Stellar Cyber Starlight - Security Events Connector
Descrizione
Estrai gli eventi di sicurezza da Stellar Cyber Starlight.
Configurare Stellar Cyber Starlight - Security Events Connector in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | event_data.event_name | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https://{ip}/connect/api/ | Sì | Radice API dell'istanza Stellar Cyber Starlight. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account Stellar Cyber Starlight. |
| Chiave API | Password | N/D | No | Chiave API dell'account Stellar Cyber Starlight. Questo parametro veniva utilizzato per l'autenticazione di base. Se vengono forniti sia |
| Token API | Password | N/D | No | Token API dell'account Stellar Cyber Starlight. Questo parametro viene utilizzato per l'autenticazione JWT. Se vengono forniti sia |
| Gravità minima da recuperare | Numero intero | 50 | Sì | Il livello di gravità più basso che verrà utilizzato per recuperare gli eventi. |
| Recupero ore massime a ritroso | Numero intero | 1 | No | Numero di ore da cui recuperare gli eventi. |
| Numero massimo di eventi da recuperare | Numero intero | 50 | No | Numero di eventi da elaborare per un'iterazione del connettore. |
| Utilizzare la lista consentita come lista nera | Casella di controllo | Deselezionata | Sì | Se questa opzione è abilitata, la lista consentita verrà utilizzata come lista bloccata. |
| Verifica SSL | Casella di controllo | Deselezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server Stellar Cyber Starlight sia valido. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
| Periodo di padding | Numero intero | 0 | No | Periodo di padding in ore per l'esecuzione del connettore. |
Regole del connettore
Supporto del proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.