Stellar Cyber Starlight
統合バージョン: 10.0
プロダクトのユースケース
- Stellar Cyber Starlight のセキュリティ イベントを取り込んで、それらを使用して Chronicle SOAR のアラートを作成します。次に、Chronicle SOAR でアラートを使用して、ハンドブックまたは手動分析でオーケストレーションを実行できます。
- Stellar Cyber Starlight で検索します。
プロダクトの権限
基本認証(username:api_key)
Chronicle SOAR で Stellar Cyber Starlight の統合を構成する
Chronicle SOAR で統合を構成する方法の詳細については、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API ルート | 文字列 | https://{ip address}/connect/api/ | ○ | Stellar Cyber Starlight インスタンスの API ルート。 |
| ユーザー名 | 文字列 | なし | ○ | Stellar Cyber Starlight アカウントのユーザー名。 |
| API キー | パスワード | なし | いいえ | Stellar Cyber Starlight アカウントの API キー。このパラメータは、基本認証に使用されていました。
|
| API トークン | パスワード | なし | いいえ | Stellar Cyber Starlight アカウントの API トークン。 このパラメータは、JWT 認証に使用されます。
|
| SSL を確認 | チェックボックス | オフ | いいえ | 有効になっている場合は、Stllar Cyber Starlight サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
アクション
Ping
説明
[Chronicle Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Stllar Cyber Starlight への接続をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ(エンティティ / 全般) |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 成功した場合: "Successfully connected to the Stellar Cyber Starlight server with the provided connection parameters!" を出力します。 アクションが失敗し、Playbook の実行が停止します。 不成功の場合: "Failed to connect to the Stellar Cyber Starlight server! Error is {0}".format(exception.stacktrace) を出力します。 API トークンで 401 の場合: "Failed to connect to the Stellar Cyber Starlight server. Invalid API token provided or username. Please validate credentials." を出力します。 API キーで 401 の場合: "Failed to connect to the Stellar Cyber Starlight server. Invalid API key or username provided. Please validate credentials." を出力します。 |
一般 |
シンプルな検索機能
説明
Stellar Cyber Starlight で簡単な検索を行います。
既知のインデックス
| Name | 索引 |
|---|---|
| アセット | aella-assets-* |
| AWS イベント | aella-cloudtrail-* |
| Linux イベント | aella-audit-* |
| ML-IDS/マルウェア検出イベント | aella-maltrace-* |
| モニタリング | aella-ade-* |
| スキャン | aella-scan-* |
| セキュリティ イベント | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| トラフィック | aella-adr-* |
| ユーザー | aella-users-* |
| Windows イベント | aella-wineventlog-* |
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 索引 | 文字列 | なし | ○ | どのインデックスで検索を行うか指定します。既知のインデックスのリストは、ドキュメントに記載されています。 |
| クエリ | 文字列 | なし | ○ | 検索のクエリフィルタを指定します。 |
| 返される結果の最大数 | 整数 | 50 | いいえ | レスポンスで返す結果の数を指定します。 |
| 並べ替えフィールド | 文字列 | なし | いいえ | 並べ替えに使用するフィールドを指定します。 |
| 並べ替え順序 | DDL | 降順 可能な値: 降順 |
いいえ | 結果の並べ替え順序を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ(エンティティ / 全般) |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 status code == 200(is_success = true)の場合 "Successfully executed search in Stellar Cyber Starlight." を出力します。 他のステータス コード(is_success=false)の場合: "Action wasn't able to execute search in Stellar Cyber Starlight. Reasons: {0}.(new line separated list of error/root_cause/reason.) を出力します。 アクションが失敗し、Playbook の実行が停止します。 認証情報が誤っている、サーバーへの接続がないなどの致命的なエラーの場合: "Error executing action "Simple Search". Reason: {0}''.format(error.Stacktrace) を出力します。 |
一般 |
検索オプション
説明
Stellar Cyber Starlight で詳細検索を行います。
既知のインデックス
| Name | 索引 |
|---|---|
| アセット | aella-assets-* |
| AWS イベント | aella-cloudtrail-* |
| Linux イベント | aella-audit-* |
| ML-IDS/マルウェア検出イベント | aella-maltrace-* |
| モニタリング | aella-ade-* |
| スキャン | aella-scan-* |
| セキュリティ イベント | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| トラフィック | aella-adr-* |
| ユーザー | aella-users-* |
| Windows イベント | aella-wineventlog-* |
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 索引 | 文字列 | なし | ○ | どのインデックスで検索を行うか指定します。既知のインデックスのリストは、ドキュメントに記載されています。 |
| DSL クエリ | 文字列 | { "size": 1, "from": 0, "query": { "match_all": {} }, "sort": [ { "timestamp": { "order": "asc" } } ] } |
○ | 実行する DSL クエリの JSON オブジェクトを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ(エンティティ / 全般) |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 status code == 200(is_success = true)の場合 "Successfully executed search in Stellar Cyber Starlight." を出力します。 他のステータス コード(is_success=false)の場合: "Action wasn't able to execute search in Stellar Cyber Starlight. Reasons: {0}.(new line separated list of error/root_cause/reason.) を出力します。 アクションが失敗し、Playbook の実行が停止します。 認証情報が誤っている、サーバーへの接続がないなどの致命的なエラーの場合: "Error executing action "Advanced Search". Reason: {0}''.format(error.Stacktrace) を出力します。 |
一般 |
セキュリティ イベントの更新
説明
Stellar Cyber Starlight のセキュリティ イベントを更新します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| 索引 | 文字列 | なし | ○ | セキュリティ イベントのインデックスを指定します。 |
| ID | 文字列 | なし | ○ | セキュリティ イベントの ID を指定します。 |
| ステータス | DDL | 1 つ選択 有効な値: 1 つ選択 新規 |
いいえ | セキュリティ イベントの新しいステータスを指定します。 |
| コメント | 文字列 | なし | いいえ | セキュリティ イベントのコメントを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、Playbook の実行が停止したりすることはありません。 status code == 200(is_success = true)の場合: "Successfully updated event {event_id} in Stellar Cyber Starlight.". アクションが失敗し、Playbook の実行が停止します。 認証情報が誤っている、サーバーへの接続がないなどの致命的なエラーの場合: "Error executing action "Update Security Event". Reason: {0}''.format(error.Stacktrace) 他のステータス コード(is_success=false)の場合: Error executing action "Update Security Event". Reason: {text from response} いずれのパラメータも指定されていない場合: Error executing action "Update Security Event". Reason: at least one of the "Status", "Comment" should have a value. |
一般 |
コネクタ
Stellar Cyber Starlight - セキュリティ イベント コネクタ
説明
Stellar Cyber Starlight からセキュリティ イベントを取得します。
Stellar Cyber Starlight の構成 - Chronicle SOAR のセキュリティ イベント コネクタ
Chronicle SOAR でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | event_data.event_name | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が格納されるフィールドの名前を記述します。 環境フィールドがない場合、その環境はデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | ○ | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://{ip}/connect/api/ | ○ | Stellar Cyber Starlight インスタンスの API ルート。 |
| ユーザー名 | 文字列 | なし | ○ | Stellar Cyber Starlight アカウントのユーザー名。 |
| API キー | パスワード | なし | いいえ | Stellar Cyber Starlight アカウントの API キー。このパラメータは、基本認証に使用されていました。
|
| API トークン | パスワード | なし | いいえ | Stellar Cyber Starlight アカウントの API トークン。 このパラメータは、JWT 認証に使用されます。
|
| Lowest Severity To Fetch | 整数 | 50 | ○ | イベントの取得に使用される最も低い重大度。 |
| Fetch Max Hours Backwards | 整数 | 1 | いいえ | どの時点からイベントを取得するかの時間数。 |
| 取得する最大イベント数 | 整数 | 50 | いいえ | 1 回のコネクタのイテレーションで処理するイベントの数。 |
| 許可リストを拒否リストとして使用する | チェックボックス | オフ | ○ | 有効にすると、許可リストが拒否リストとして使用されます。 |
| SSL を確認 | チェックボックス | オフ | ○ | 有効になっている場合は、Stllar Cyber Starlight サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
| パディング期間 | 整数 | 0 | いいえ | コネクタ実行のパディング期間(時間単位)。 |
コネクタルール
プロキシのサポート
コネクタでプロキシがサポートされます。