Stellar Cyber Starlight
Versão da integração: 15.0
Exemplos de utilização de produtos
- Ingira eventos de segurança do Stellar Cyber Starlight para os usar na criação de alertas do Google Security Operations. Em seguida, no Google SecOps, os alertas podem ser usados para realizar orquestrações com manuais de procedimentos ou análises manuais.
- Faça pesquisas no Stellar Cyber Starlight.
Autorização do produto
Autenticação básica (username:api_key)
Configure a integração do Stellar Cyber Starlight no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://{ip address}/connect/api/ | Sim | Raiz da API da instância do Stellar Cyber Starlight. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do Stellar Cyber Starlight. |
| Chave de API | Palavra-passe | N/A | Não | Chave da API da conta do Stellar Cyber Starlight. Este parâmetro foi usado para a autenticação básica. Se forem fornecidos |
| Chave da API | Palavra-passe | N/A | Não | Token da API da conta do Stellar Cyber Starlight. Este parâmetro é usado para a autenticação JWT. Se forem fornecidos |
| Validar SSL | Caixa de verificação | Desmarcado | Não | Se estiver ativado, verifique se o certificado SSL para a ligação ao servidor Stellar Cyber Starlight é válido |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Tchim-tchim
Descrição
Teste a conetividade ao Stellar Cyber Starlight com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo (entidade / geral) |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: Imprima "Successfully connected to the Stellar Cyber Starlight server with the provided connection parameters!" (Ligação estabelecida com êxito ao servidor Stellar Cyber Starlight com os parâmetros de ligação fornecidos!) A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: Imprime "Failed to connect to the Stellar Cyber Starlight server! O erro é {0}".format(exception.stacktrace) Se receber o erro 401 para a chave da API: Imprime "Falha ao estabelecer ligação ao servidor Stellar Cyber Starlight. Nome de utilizador ou token da API inválido. Valide as credenciais." Se receber o erro 401 para a chave da API: Imprime "Falha ao estabelecer ligação ao servidor Stellar Cyber Starlight. Chave da API ou nome de utilizador fornecido inválido. Valide as credenciais." |
Geral |
Pesquisa simples
Descrição
Faça uma pesquisa simples no Stellar Cyber Starlight.
Índices conhecidos
| Nome | Índice |
|---|---|
| Recursos | aella-assets-* |
| Eventos da AWS | aella-cloudtrail-* |
| Eventos Linux | aella-audit-* |
| Eventos de deteção de software malicioso/IDS de ML | aella-maltrace-* |
| Monitorização | aella-ade-* |
| Análises | aella-scan-* |
| Eventos de segurança | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| Trânsito | aella-adr-* |
| Utilizadores | aella-users-* |
| Eventos do Windows | aella-wineventlog-* |
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É Mandatório | Descrição |
|---|---|---|---|---|
| Índice | String | N/A | Sim | Especifique em que índice quer pesquisar. Pode encontrar uma lista de índices conhecidos na documentação. |
| Consulta | String | N/A | Sim | Especifique o filtro de consulta para a pesquisa. |
| Máximo de resultados a devolver | Número inteiro | 50 | Não | Especifique quantos resultados devolver na resposta. |
| Campo de ordenação | String | N/A | Não | Especifique o campo que deve ser usado para a ordenação. |
| Disposição da Ordenação | LDD | Descendente Valores possíveis: Descendente |
Não | Especifique a ordem de ordenação do resultado. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo (entidade / geral) |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: If status code == 200 (is_success = true) Imprime "Successfully executed search in Stellar Cyber Starlight." (Pesquisa executada com êxito no Stellar Cyber Starlight.) Se outro código de estado (is_success=false): Imprimir "Não foi possível executar a pesquisa no Stellar Cyber Starlight. Motivos: {0}.(new line separated list of error/root_cause/reason.) A ação deve falhar e parar a execução de um guia interativo: Ii erro fatal, como credenciais incorretas, sem ligação ao servidor , outro: Imprimir "Erro ao executar a ação "Pesquisa simples". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Pesquisa avançada
Descrição
Faça uma pesquisa avançada no Stellar Cyber Starlight.
Índices conhecidos
| Nome | Índice |
|---|---|
| Recursos | aella-assets-* |
| Eventos da AWS | aella-cloudtrail-* |
| Eventos Linux | aella-audit-* |
| Eventos de deteção de software malicioso/IDS de ML | aella-maltrace-* |
| Monitorização | aella-ade-* |
| Análises | aella-scan-* |
| Eventos de segurança | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| Trânsito | aella-adr-* |
| Utilizadores | aella-users-* |
| Eventos do Windows | aella-wineventlog-* |
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Índice | String | N/A | Sim | Especifique em que índice quer pesquisar. Pode encontrar uma lista de índices conhecidos na documentação. |
| Consulta DSL | String | { "size": 1, "from": 0, "query": { "match_all": {} }, "sort": [ { "timestamp": { "order": "asc" } } ] } |
Sim | Especifique o objeto JSON da consulta DSL que quer executar. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo (entidade / geral) |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: If status code == 200 (is_success = true) Imprime "Successfully executed search in Stellar Cyber Starlight." (Pesquisa executada com êxito no Stellar Cyber Starlight.) Se outro código de estado (is_success=false): Imprimir "Não foi possível executar a pesquisa no Stellar Cyber Starlight. Motivos: {0}.(new line separated list of error/root_cause/reason.) A ação deve falhar e parar a execução de um guia interativo: Ii erro fatal, como credenciais incorretas, sem ligação ao servidor , outro: Imprimir "Erro ao executar a ação "Pesquisa avançada". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Atualize o evento de segurança
Descrição
Atualize o evento de segurança no Stellar Cyber Starlight.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Índice | String | N/A | Sim | Especifique o índice do evento de segurança. |
| ID | String | N/A | Sim | Especifique o ID do evento de segurança. |
| Estado | LDD | Selecione uma opção Valores possíveis: Selecione uma opção Novo |
Não | Especifique o novo estado do evento de segurança. |
| Comentário | String | N/A | Não | Especifique um comentário para o evento de segurança. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: If status code == 200 (is_success = true): "Successfully updated event {event_id} in Stellar Cyber Starlight.". A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Atualizar evento de segurança". Motivo: {0}''.format(error.Stacktrace) Se outro código de estado (is_success=false): erro ao executar a ação "Atualizar evento de segurança". Motivo: {text from response} Se não for fornecido nenhum dos parâmetros: erro ao executar a ação "Atualizar evento de segurança". Motivo: pelo menos um dos campos "Estado" ou "Comentário" deve ter um valor. |
Geral |
Conetores
Stellar Cyber Starlight - Security Events Connector
Descrição
Extraia eventos de segurança do Stellar Cyber Starlight.
Configure o Stellar Cyber Starlight – Security Events Connector no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | event_data.event_name | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{ip}/connect/api/ | Sim | Raiz da API da instância do Stellar Cyber Starlight. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do Stellar Cyber Starlight. |
| Chave de API | Palavra-passe | N/A | Não | Chave da API da conta do Stellar Cyber Starlight. Este parâmetro foi usado para a autenticação básica. Se forem fornecidos |
| Chave da API | Palavra-passe | N/A | Não | Token da API da conta do Stellar Cyber Starlight. Este parâmetro é usado para a autenticação JWT. Se forem fornecidos |
| Gravidade mais baixa a obter | Número inteiro | 50 | Sim | Gravidade mais baixa que vai ser usada para obter eventos. |
| Fetch Max Hours Backwards | Número inteiro | 1 | Não | Quantidade de horas a partir das quais obter eventos. |
| Máximo de eventos a obter | Número inteiro | 50 | Não | O número de eventos a processar por iteração de um conetor. |
| Use a lista de autorizações como uma lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a lista de autorizações é usada como uma lista negra. |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, valide se o certificado SSL para a ligação ao servidor Stellar Cyber Starlight é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
| Período de preenchimento | Número inteiro | 0 | Não | Período de preenchimento em horas para a execução do conetor. |
Regras de conector
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.