Starlight da Stellar Cyber
Versão da integração: 15.0
Casos de uso de produtos
- Ingira eventos de segurança do Stellar Cyber Starlight para usá-los na criação de alertas do Google Security Operations. Em seguida, no Google SecOps, os alertas podem ser usados para fazer orquestrações com playbooks ou análises manuais.
- Faça pesquisas no Stellar Cyber Starlight.
Permissão de produto
Autenticação básica (nome de usuário:api_key)
Configurar a integração do Stellar Cyber Starlight no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://{ip address}/connect/api/ | Sim | Raiz da API da instância do Stellar Cyber Starlight. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do Stellar Cyber Starlight. |
| Chave de API | Senha | N/A | Não | Chave de API da conta do Stellar Cyber Starlight. Esse parâmetro era usado para autenticação básica. Se |
| Token da API | Senha | N/A | Não | Token de API da conta do Stellar Cyber Starlight. Esse parâmetro é usado para autenticação JWT. Se |
| Verificar SSL | Caixa de seleção | Desmarcado | Não | Se ativado, verifique se o certificado SSL da conexão com o servidor Stellar Cyber Starlight é válido. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
Ping
Descrição
Teste a conectividade com o Stellar Cyber Starlight usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace do Google Security Operations".
Parâmetros
N/A
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo (entidade / geral) |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a operação for concluída: Imprima "Conexão bem-sucedida com o servidor Stellar Cyber Starlight usando os parâmetros de conexão fornecidos!" A ação precisa falhar e interromper a execução de um playbook: Se não for concluída: Imprima "Failed to connect to the Stellar Cyber Starlight server! O erro é {0}".format(exception.stacktrace) Se o erro 401 for para o token de API: Imprima "Não foi possível se conectar ao servidor Stellar Cyber Starlight. Token de API ou nome de usuário inválido. Valide as credenciais." Se o erro 401 for para a chave de API: Imprima "Não foi possível se conectar ao servidor Stellar Cyber Starlight. Chave de API ou nome de usuário inválido. Valide as credenciais." |
Geral |
Pesquisa simples
Descrição
Faça uma pesquisa simples no Stellar Cyber Starlight.
Índices conhecidos
| Nome | Índice |
|---|---|
| Recursos | aella-assets-* |
| Eventos da AWS | aella-cloudtrail-* |
| Eventos do Linux | aella-audit-* |
| Eventos de detecção de malware/ML-SDI | aella-maltrace-* |
| Monitoramento | aella-ade-* |
| Verificações | aella-scan-* |
| Ocorrências de segurança | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| Tráfego | aella-adr-* |
| Usuários | aella-users-* |
| Eventos do Windows | aella-wineventlog-* |
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É Mandatório | Descrição |
|---|---|---|---|---|
| Índice | String | N/A | Sim | Especifique em qual índice você quer pesquisar. Confira uma lista de índices conhecidos na documentação. |
| Consulta | String | N/A | Sim | Especifique o filtro de consulta para a pesquisa. |
| Número máximo de resultados a serem retornados | Número inteiro | 50 | Não | Especifique quantos resultados retornar na resposta. |
| Campo de classificação | String | N/A | Não | Especifique o campo que será usado para classificação. |
| Ordem de classificação | DDL | Decrescente Valores possíveis: Decrescente |
Não | Especifique a ordem de classificação do resultado. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo (entidade / geral) |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status for 200 (is_success = true) Imprima "A pesquisa foi executada com sucesso no Stellar Cyber Starlight". Se outro código de status (is_success=false): Imprima "Não foi possível executar a pesquisa no Stellar Cyber Starlight. Motivos: {0}.(lista separada por novas linhas de erro/root_cause/reason.) A ação precisa falhar e interromper a execução de um playbook: Erro fatal, como credenciais incorretas, sem conexão com o servidor , outro: Imprima "Erro ao executar a ação "Pesquisa simples". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Pesquisa avançada
Descrição
Faça uma pesquisa avançada no Stellar Cyber Starlight.
Índices conhecidos
| Nome | Índice |
|---|---|
| Recursos | aella-assets-* |
| Eventos da AWS | aella-cloudtrail-* |
| Eventos do Linux | aella-audit-* |
| Eventos de detecção de malware/ML-SDI | aella-maltrace-* |
| Monitoramento | aella-ade-* |
| Verificações | aella-scan-* |
| Ocorrências de segurança | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| Tráfego | aella-adr-* |
| Usuários | aella-users-* |
| Eventos do Windows | aella-wineventlog-* |
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Índice | String | N/A | Sim | Especifique em qual índice você quer pesquisar. Confira uma lista de índices conhecidos na documentação. |
| Consulta DSL | String | { "size": 1, "from": 0, "query": { "match_all": {} }, "sort": [ { "timestamp": { "order": "asc" } } ] } |
Sim | Especifique o objeto JSON da consulta DSL que você quer executar. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo (entidade / geral) |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status for 200 (is_success = true) Imprima "A pesquisa foi executada com sucesso no Stellar Cyber Starlight". Se outro código de status (is_success=false): Imprima "Não foi possível executar a pesquisa no Stellar Cyber Starlight. Motivos: {0}.(lista separada por novas linhas de erro/root_cause/reason.) A ação precisa falhar e interromper a execução de um playbook: Erro fatal, como credenciais incorretas, sem conexão com o servidor , outro: Print "Error executing action "Advanced Search". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Atualizar evento de segurança
Descrição
Atualize o ocorrência de segurança no Stellar Cyber Starlight.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Índice | String | N/A | Sim | Especifique o índice do ocorrência de segurança. |
| ID | String | N/A | Sim | Especifique o ID do ocorrência de segurança. |
| Status | DDL | Selecione uma opção. Valores possíveis: Selecione uma opção. Novo |
Não | Especifique o novo status do ocorrência de segurança. |
| Comentário | String | N/A | Não | Especifique um comentário para o ocorrência de segurança. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status == 200 (is_success = true): "O evento {event_id} foi atualizado no Stellar Cyber Starlight.". A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Atualizar evento de segurança". Motivo: {0}''.format(error.Stacktrace) Se outro código de status (is_success=false): erro ao executar a ação "Atualizar evento de segurança". Motivo: {text from response} Se nenhum dos parâmetros for fornecido:erro ao executar a ação "Atualizar evento de segurança". Motivo: pelo menos um dos campos "Status" ou "Comentário" precisa ter um valor. |
Geral |
Conectores
Stellar Cyber Starlight: conector de eventos de segurança
Descrição
Extrai eventos de segurança do Stellar Cyber Starlight.
Configurar o conector de eventos de segurança do Stellar Cyber Starlight no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | event_data.event_name | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{ip}/connect/api/ | Sim | Raiz da API da instância do Stellar Cyber Starlight. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do Stellar Cyber Starlight. |
| Chave de API | Senha | N/A | Não | Chave de API da conta do Stellar Cyber Starlight. Esse parâmetro era usado para autenticação básica. Se |
| Token da API | Senha | N/A | Não | Token de API da conta do Stellar Cyber Starlight. Esse parâmetro é usado para autenticação JWT. Se |
| Menor gravidade a ser buscada | Número inteiro | 50 | Sim | A menor gravidade que será usada para buscar eventos. |
| Voltar o tempo máximo | Número inteiro | 1 | Não | Número de horas de onde buscar eventos. |
| Número máximo de eventos a serem buscados | Número inteiro | 50 | Não | Quantos eventos processar por iteração de conector. |
| Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, a lista de permissões será usada como uma lista de bloqueios. |
| Verificar SSL | Caixa de seleção | Desmarcado | Sim | Se ativado, verifique se o certificado SSL da conexão com o servidor Stellar Cyber Starlight é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
| Período de padding | Número inteiro | 0 | Não | Período de padding em horas para a execução do conector. |
Regras do conector
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.