Stellar Cyber Starlight
통합 버전: 15.0
제품 사용 사례
- Stellar Cyber Starlight 보안 이벤트를 수집하여 Google Security Operations 알림을 만드는 데 사용합니다. 그런 다음 Google SecOps에서 알림을 사용하여 플레이북이나 수동 분석으로 조정을 수행할 수 있습니다.
- Stellar Cyber Starlight에서 검색을 수행합니다.
제품 권한
기본 인증(username:api_key)
Google SecOps에서 Stellar Cyber Starlight 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| API 루트 | 문자열 | https://{ip address}/connect/api/ | 예 | Stellar Cyber Starlight 인스턴스의 API 루트입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | Stellar Cyber Starlight 계정의 사용자 이름입니다. |
| API 키 | 비밀번호 | 해당 사항 없음 | No | Stellar Cyber Starlight 계정의 API 키입니다. 이 매개변수는 기본 인증에 사용되었습니다.
|
| API 토큰 | 비밀번호 | 해당 사항 없음 | No | Stellar Cyber Starlight 계정의 API Token입니다. 이 매개변수는 JWT 인증에 사용됩니다.
|
| SSL 확인 | 체크박스 | 선택 해제 | No | 사용 설정한 경우 Stellar Cyber Starlight 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Stellar Cyber Starlight에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값/설명 | 유형(항목/일반) |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 Stellar Cyber Starlight 서버에 성공적으로 연결되었습니다.' 출력 작업이 실패하고 플레이북 실행을 중지해야 합니다. 실패한 경우: 'Stllar Cyber Starlight 서버에 연결할 수 없습니다.'가 출력됩니다. 오류: {0}".format(exception.stacktrace) API 토큰에 대해 401인 경우: 'Stellar Cyber Starlight 서버에 연결할 수 없습니다. 제공된 API 토큰이나 사용자 이름이 잘못되었습니다. 사용자 인증 정보 유효성을 검사하세요.'가 출력됩니다. API 키에 대해 401인 경우: 'Stellar Cyber Starlight 서버에 연결할 수 없습니다. 제공된 API 키나 사용자 이름이 잘못되었습니다. 사용자 인증 정보 유효성을 검사하세요.'가 출력됩니다. |
일반 |
간단한 검색
설명
Stellar Cyber Starlight에서 간단한 검색을 수행합니다.
알려진 색인
| 이름 | 색인 |
|---|---|
| 애셋 | aella-assets-* |
| AWS 이벤트 | aella-cloudtrail-* |
| Linux 이벤트 | aella-audit-* |
| ML-IDS/멀웨어 감지 이벤트 | aella-maltrace-* |
| 모니터링 | aella-ade-* |
| 스캔 | aella-scan-* |
| 보안 이벤트 | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| 트래픽 | aella-adr-* |
| 사용자 | aella-users-* |
| Windows 이벤트 | aella-wineventlog-* |
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 색인 | 문자열 | 해당 사항 없음 | 예 | 검색할 색인을 지정합니다. 문서에서 알려진 색인 목록을 찾을 수 있습니다. |
| 쿼리 | 문자열 | 해당 사항 없음 | 예 | 검색 쿼리 필터를 지정합니다. |
| 반환할 최대 결과 수 | 정수 | 50 | No | 응답에서 반환할 결과 수를 지정합니다. |
| 필드 정렬 | 문자열 | 해당 사항 없음 | No | 정렬에 사용해야 하는 필드를 지정합니다. |
| 정렬 순서 | DDL | 내림차순 가능한 값: 내림차순 |
No | 결과 정렬 순서를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
케이스 월
| 결과 유형 | 값/설명 | 유형(항목/일반) |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 상태 코드 == 200인 경우(is_success = true) 'Stllar Cyber Starlight에서 검색을 성공적으로 실행했습니다' 출력 다른 상태 코드인 경우(is_success=false): '작업이 Stellar Cyber Starlight에서 검색을 실행할 수 없습니다.'가 출력됩니다. 이유: {0}.(별도의 error/root_cause/reason 목록의 새 줄) 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보, 서버에 연결 없음과 같은 치명적 오류의 경우: '간단한 검색 작업 실행 중에 오류가 발생했습니다.'가 출력됩니다. 이유: {0}''.format(error.Stacktrace) |
일반 |
고급검색
설명
Stellar Cyber Starlight에서 고급검색을 수행합니다.
알려진 색인
| 이름 | 색인 |
|---|---|
| 애셋 | aella-assets-* |
| AWS 이벤트 | aella-cloudtrail-* |
| Linux 이벤트 | aella-audit-* |
| ML-IDS/멀웨어 감지 이벤트 | aella-maltrace-* |
| 모니터링 | aella-ade-* |
| 스캔 | aella-scan-* |
| 보안 이벤트 | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| 트래픽 | aella-adr-* |
| 사용자 | aella-users-* |
| Windows 이벤트 | aella-wineventlog-* |
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 색인 | 문자열 | 해당 사항 없음 | 예 | 검색할 색인을 지정합니다. 문서에서 알려진 색인 목록을 찾을 수 있습니다. |
| DSL 쿼리 | 문자열 | { "size": 1, "from": 0, "query": { "match_all": {} }, "sort": [ { "timestamp": { "order": "asc" } } ] } |
예 | 실행할 DSL 쿼리의 JSON 객체를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
케이스 월
| 결과 유형 | 값/설명 | 유형(항목/일반) |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 상태 코드 == 200인 경우(is_success = true) 'Stllar Cyber Starlight에서 검색을 성공적으로 실행했습니다' 출력 다른 상태 코드인 경우(is_success=false): '작업이 Stellar Cyber Starlight에서 검색을 실행할 수 없습니다.'가 출력됩니다. 이유: {0}.(별도의 error/root_cause/reason 목록의 새 줄) 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보, 서버에 연결 없음과 같은 치명적 오류의 경우: '고급검색 작업 실행 중에 오류가 발생했습니다.'가 출력됩니다. 이유: {0}''.format(error.Stacktrace) |
일반 |
보안 관련 활동 업데이트
설명
Stellar Cyber Starlight의 보안 관련 활동을 업데이트합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | Description(설명) |
|---|---|---|---|---|
| 색인 | 문자열 | 해당 사항 없음 | 예 | 보안 관련 활동의 색인을 지정합니다. |
| ID | 문자열 | 해당 사항 없음 | 예 | 보안 관련 활동의 ID를 지정합니다. |
| 상태 | DDL | 다음 중 하나를 선택하세요. 가능한 값은 다음과 같습니다. 다음 중 하나를 선택하세요. 신규 |
No | 보안 관련 활동의 새 상태를 지정합니다. |
| 메모 | 문자열 | 해당 사항 없음 | No | 보안 관련 활동에 대한 주석을 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다. 상태 코드 == 200(is_success = true인 경우): 'Sistar Cyber Starlight에서 {event_id} 이벤트를 성공적으로 업데이트했습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류의 경우: ''보안 관련 활동 업데이트' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace) 다른 상태 코드인 경우(is_success=false): '보안 관련 활동 업데이트' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {대응의 텍스트} 매개변수가 제공되지 않은 경우: '보안 관련 활동 업데이트' 작업을 실행하는 중에 오류가 발생했습니다. 이유: 최소한 'Status', 'Comment' 중 하나 이상에 값이 있어야 합니다. |
일반 |
커넥터
Stellar Cyber Starlight - 보안 관련 활동 커넥터
설명
Stellar Cyber Starlight에서 보안 관련 활동을 가져옵니다.
Google SecOps에서 Stellar Cyber Starlight - 보안 관련 활동 커넥터 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 제품 이름 | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 이벤트 필드 이름 | 문자열 | event_data.event_name | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API 루트 | 문자열 | https://{ip}/connect/api/ | 예 | Stellar Cyber Starlight 인스턴스의 API 루트입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | Stellar Cyber Starlight 계정의 사용자 이름입니다. |
| API 키 | 비밀번호 | 해당 사항 없음 | No | Stellar Cyber Starlight 계정의 API 키입니다. 이 매개변수는 기본 인증에 사용되었습니다.
|
| API 토큰 | 비밀번호 | 해당 사항 없음 | No | Stellar Cyber Starlight 계정의 API Token입니다. 이 매개변수는 JWT 인증에 사용됩니다.
|
| 가져올 가장 낮은 심각도 | 정수 | 50 | 예 | 이벤트를 가져오는 데 사용할 가장 낮은 심각도입니다. |
| 최대 시간을 뒤로 가져오기 | 정수 | 1 | No | 이벤트를 가져올 위치의 시간입니다. |
| 가져올 최대 이벤트 수 | 정수 | 50 | No | 커넥터 반복당 처리할 이벤트 수입니다. |
| 허용 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 허용 목록이 차단 목록으로 사용됩니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 예 | 사용 설정한 경우 Stellar Cyber Starlight 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
| 패딩 기간 | 정수 | 0 | No | 커넥터 실행 패딩 기간(시간)입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.