Stellar Cyber Starlight
集成版本:15.0
产品使用场景
- 提取 Stellar Cyber Starlight 安全事件,以便使用这些事件创建 Google Security Operations 提醒。接下来,在 Google SecOps 中,可以使用提醒通过 playbook 或手动分析来执行编排。
- 在 Stellar Cyber Starlight 中执行搜索。
产品权限
基本身份验证(用户名:api_key)
在 Google SecOps 中配置 Stellar Cyber Starlight 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| API 根 | 字符串 | https://{ip address}/connect/api/ | 是 | Stellar Cyber Starlight 实例的 API 根。 |
| 用户名 | 字符串 | 不适用 | 是 | Stellar Cyber Starlight 账号的用户名。 |
| API 密钥 | 密码 | 不适用 | 否 | Stellar Cyber Starlight 账号的 API 密钥。 此参数用于基本身份验证。 如果同时提供了 |
| API 令牌 | 密码 | 不适用 | 否 | Stellar Cyber Starlight 账号的 API 令牌。 此参数用于 JWT 身份验证。 如果同时提供了 |
| 验证 SSL | 复选框 | 尚未核查 | 否 | 如果启用,请验证与 Stellar Cyber Starlight 服务器的连接的 SSL 证书是否有效 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中此字段,以便远程运行配置的集成。选中后,系统会显示用于选择远程用户(客服人员)的选项。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Stellar Cyber Starlight 的连接。
参数
不适用
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值 / 说明 | 类型(实体 / 常规) |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功: 输出“Successfully connected to the Stellar Cyber Starlight server with the provided connection parameters!” 操作应失败并停止 playbook 执行: 如果不成功: 打印“Failed to connect to the Stellar Cyber Starlight server! 错误为 {0}".format(exception.stacktrace) 如果 API 令牌出现 401 错误: 打印“Failed to connect to the Stellar Cyber Starlight server. 提供的 API 令牌或用户名无效。请验证凭据。” 如果 API 密钥出现 401 错误: 打印“Failed to connect to the Stellar Cyber Starlight server. 提供的 API 密钥或用户名无效。请验证凭据。” |
常规 |
简单搜索
说明
在 Stellar Cyber Starlight 中执行简单搜索。
已知指数
| 名称 | 索引 |
|---|---|
| 资产 | aella-assets-* |
| AWS 活动 | aella-cloudtrail-* |
| Linux 活动 | aella-audit-* |
| ML-IDS/恶意软件检测事件 | aella-maltrace-* |
| 监控 | aella-ade-* |
| 扫描 | aella-scan-* |
| 安全事件 | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| 流量 | aella-adr-* |
| 用户 | aella-users-* |
| Windows 事件 | aella-wineventlog-* |
参数
| 参数显示名称 | 类型 | 默认值 | 是强制性的 | 说明 |
|---|---|---|---|---|
| 索引 | 字符串 | 不适用 | 是 | 指定要在哪个索引中进行搜索。您可以在文档中找到已知索引的列表。 |
| 查询 | 字符串 | 不适用 | 是 | 指定搜索的查询过滤条件。 |
| 要返回的结果数上限 | 整数 | 50 | 否 | 指定要在响应中返回的结果数量。 |
| 排序字段 | 字符串 | 不适用 | 否 | 指定应使用的排序字段。 |
| 排序顺序 | DDL | 降序 可能的值: 降序 |
否 | 指定结果的排序顺序。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型(实体 / 常规) |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果状态代码 == 200 (is_success = true) 打印“Successfully executed search in Stellar Cyber Starlight.” 如果状态代码为其他值 (is_success=false): 打印“操作无法在 Stellar Cyber Starlight 中执行搜索。原因:{0}。(以换行符分隔的错误/根本原因/理由列表。) 操作应失败并停止 playbook 执行: II. 致命错误,例如凭据错误、无法连接到 服务器、其他: 打印“执行操作‘简单搜索’时出错。原因:{0}''.format(error.Stacktrace) |
常规 |
高级搜索
说明
在 Stellar Cyber Starlight 中执行高级搜索。
已知指数
| 名称 | 索引 |
|---|---|
| 资产 | aella-assets-* |
| AWS 活动 | aella-cloudtrail-* |
| Linux 活动 | aella-audit-* |
| ML-IDS/恶意软件检测事件 | aella-maltrace-* |
| 监控 | aella-ade-* |
| 扫描 | aella-scan-* |
| 安全事件 | aella-ser-* |
| SNMP | aella-perf-* |
| Syslog | aella-syslog-* |
| 流量 | aella-adr-* |
| 用户 | aella-users-* |
| Windows 事件 | aella-wineventlog-* |
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 索引 | 字符串 | 不适用 | 是 | 指定要在哪个索引中进行搜索。您可以在文档中找到已知索引的列表。 |
| DSL 查询 | 字符串 | { "size": 1, "from": 0, "query": { "match_all": {} }, "sort": [ { "timestamp": { "order": "asc" } } ] } |
是 | 指定要执行的 DSL 查询的 JSON 对象。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型(实体 / 常规) |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果状态代码 == 200 (is_success = true) 打印“Successfully executed search in Stellar Cyber Starlight.” 如果状态代码为其他值 (is_success=false): 打印“操作无法在 Stellar Cyber Starlight 中执行搜索。原因:{0}。(以换行符分隔的错误/根本原因/理由列表。) 操作应失败并停止 playbook 执行: II. 致命错误,例如凭据错误、无法连接到 服务器、其他: 打印“执行操作‘高级搜索’时出错。原因:{0}''.format(error.Stacktrace) |
常规 |
更新安全事件
说明
更新 Stellar Cyber Starlight 中的安全事件。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 索引 | 字符串 | 不适用 | 是 | 指定安全事件的索引。 |
| ID | 字符串 | 不适用 | 是 | 指定安全事件的 ID。 |
| 状态 | DDL | 选择一项 可能的值: 选择一项 新 |
否 | 为安全事件指定新状态。 |
| 评论 | 字符串 | 不适用 | 否 | 为安全事件指定注释。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果状态代码 == 200(is_success = true):“已成功在 Stellar Cyber Starlight 中更新事件 {event_id}。”。 操作应失败并停止 playbook 执行: 如果出现严重错误,例如凭据错误、无法连接到服务器等:“Error executing action "Update Security Event". 原因:{0}''.format(error.Stacktrace) 如果其他状态代码 (is_success=false):执行操作“更新安全事件”时出错。原因:{text from response} 如果未提供任何参数:执行操作“更新安全事件”时出错。原因:“状态”和“评论”中至少有一个应具有值。 |
常规 |
连接器
Stellar Cyber Starlight - 安全事件连接器
说明
从 Stellar Cyber Starlight 拉取安全事件。
在 Google SecOps 中配置 Stellar Cyber Starlight - 安全事件连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | event_data.event_name | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://{ip}/connect/api/ | 是 | Stellar Cyber Starlight 实例的 API 根。 |
| 用户名 | 字符串 | 不适用 | 是 | Stellar Cyber Starlight 账号的用户名。 |
| API 密钥 | 密码 | 不适用 | 否 | Stellar Cyber Starlight 账号的 API 密钥。 此参数用于基本身份验证。 如果同时提供了 |
| API 令牌 | 密码 | 不适用 | 否 | Stellar Cyber Starlight 账号的 API 令牌。 此参数用于 JWT 身份验证。 如果同时提供了 |
| 要提取的最低严重程度 | 整数 | 50 | 是 | 用于提取事件的最低严重程度。 |
| 提取回溯的小时数上限 | 整数 | 1 | 否 | 提取事件的小时数。 |
| 要提取的事件数量上限 | 整数 | 50 | 否 | 每次连接器迭代要处理的事件数量。 |
| 将白名单用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,白名单将用作黑名单。 |
| 验证 SSL | 复选框 | 尚未核查 | 是 | 如果启用,则验证与 Stellar Cyber Starlight 服务器的连接的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
| 缓冲期 | 整数 | 0 | 否 | 连接器执行的填充时间段(以小时为单位)。 |
连接器规则
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。