Stellar Cyber Starlight
整合版本:15.0
產品用途
- 擷取 Stellar Cyber Starlight 安全性事件,用於建立 Google Security Operations 快訊。接著,您可以在 Google SecOps 中使用快訊,透過應對手冊或手動分析執行協調作業。
- 在 Stellar Cyber Starlight 中執行搜尋。
產品權限
基本驗證 (使用者名稱:api_key)
在 Google SecOps 中設定 Stellar Cyber Starlight 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 根層級 | 字串 | https://{ip address}/connect/api/ | 是 | Stellar Cyber Starlight 執行個體的 API 根目錄。 |
| 使用者名稱 | 字串 | 不適用 | 是 | Stellar Cyber Starlight 帳戶的使用者名稱。 |
| API 金鑰 | 密碼 | 不適用 | 否 | Stellar Cyber Starlight 帳戶的 API 金鑰。 這個參數用於基本驗證。 如果同時提供 |
| API 權杖 | 密碼 | 不適用 | 否 | Stellar Cyber Starlight 帳戶的 API 權杖。 這個參數用於 JWT 驗證。 如果同時提供 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 否 | 如果啟用,請確認連線至 Stellar Cyber Starlight 伺服器的 SSL 憑證有效 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁整合設定頁面提供的參數,測試與 Stellar Cyber Starlight 的連線。
參數
不適用
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值 / 說明 | 類型 (實體 / 一般) |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功: 列印「Successfully connected to the Stellar Cyber Starlight server with the provided connection parameters!」(已使用提供的連線參數成功連線至 Stellar Cyber Starlight 伺服器!) 動作應會失敗並停止執行應對手冊: 如果未成功: 列印「Failed to connect to the Stellar Cyber Starlight server! Error is {0}".format(exception.stacktrace) 如果 API 權杖出現 401 錯誤: 列印「Failed to connect to the Stellar Cyber Starlight server. 提供的 API 權杖或使用者名稱無效。請驗證憑證。」 如果 API 金鑰發生 401 錯誤: 列印「Failed to connect to the Stellar Cyber Starlight server. 提供的 API 金鑰或使用者名稱無效。請驗證憑證。」 |
一般 |
簡易搜尋
說明
在 Stellar Cyber Starlight 中執行簡單搜尋。
已知索引
| 名稱 | 索引 |
|---|---|
| 資產 | aella-assets-* |
| AWS Events | aella-cloudtrail-* |
| Linux 活動 | aella-audit-* |
| ML-IDS/惡意軟體偵測事件 | aella-maltrace-* |
| 監控 | aella-ade-* |
| 掃描檔 | aella-scan-* |
| 安全性事件 | aella-ser-* |
| SNMP | aella-perf-* |
| 系統記錄檔 | aella-syslog-* |
| 流量 | aella-adr-* |
| 使用者 | aella-users-* |
| Windows 事件 | aella-wineventlog-* |
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必填 | 說明 |
|---|---|---|---|---|
| 索引 | 字串 | 不適用 | 是 | 指定要搜尋的索引。如需已知索引的清單,請參閱說明文件。 |
| 查詢 | 字串 | 不適用 | 是 | 指定搜尋的查詢篩選器。 |
| 要傳回的結果數量上限 | 整數 | 50 | 否 | 指定要在回應中傳回的結果數量。 |
| 排序欄位 | 字串 | 不適用 | 否 | 指定要用於排序的欄位。 |
| 排序順序 | DDL | 遞減 可能的值: 遞減 |
否 | 指定結果的排序順序。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 (實體 / 一般) |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: If status code == 200 (is_success = true) Print "Successfully executed search in Stellar Cyber Starlight." 如果狀態碼為其他值 (is_success=false): Print "Action wasn't able to execute search in Stellar Cyber Starlight. 原因:{0}。(以換行符分隔的錯誤/根本原因/理由清單。) 動作應會失敗並停止執行應對手冊: II. 發生嚴重錯誤,例如憑證錯誤、無法連線至 伺服器,或其他錯誤: Print "Error executing action "Simple Search". 原因:{0}''.format(error.Stacktrace) |
一般 |
進階搜尋
說明
在 Stellar Cyber Starlight 中執行進階搜尋。
已知索引
| 名稱 | 索引 |
|---|---|
| 資產 | aella-assets-* |
| AWS Events | aella-cloudtrail-* |
| Linux 活動 | aella-audit-* |
| ML-IDS/惡意軟體偵測事件 | aella-maltrace-* |
| 監控 | aella-ade-* |
| 掃描檔 | aella-scan-* |
| 安全性事件 | aella-ser-* |
| SNMP | aella-perf-* |
| 系統記錄檔 | aella-syslog-* |
| 流量 | aella-adr-* |
| 使用者 | aella-users-* |
| Windows 事件 | aella-wineventlog-* |
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 索引 | 字串 | 不適用 | 是 | 指定要搜尋的索引。如需已知索引的清單,請參閱說明文件。 |
| DSL 查詢 | 字串 | { "size": 1, "from": 0, "query": { "match_all": {} }, "sort": [ { "timestamp": { "order": "asc" } } ] } |
是 | 指定要執行的 DSL 查詢的 JSON 物件。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"_index": "aella-ser-1594316167944-",
"_type": "amsg",
"_id": "LzfKNHMByqrLS2zLF9bf",
"_score": null,
"_source": {
"actual": 1,
"advanced": 2,
"aella_tuples": "172.30.202.208.52.8.234.27.80.67",
"anomaly_id": "job024_anomalous_user_agent-2020.07.09",
"appid": 67,
"appid_family": "Web",
"appid_name": "http",
"appid_stdport": "yes",
"days_silent": 14,
"detected_field": "metadata.request.user_agent",
"detected_value": "curl/7.47.0",
"detector_index": 0,
"doc_ids": [],
"dscp_name": "Best Effort",
"dstip": "52.8.234.27",
"dstip_geo": {
"city": "San Jose",
"countryCode": "US",
"countryName": "United States",
"latitude": 37.3388,
"longitude": -121.8914,
"region": "California"
},
"dstip_geo_point": "37.3388,-121.8914",
"dstip_host": "dl.stellarcyber.ai",
"dstip_reputation": "Good",
"dstip_type": "public",
"dstmac": "e8:1c:ba:4c:37:be",
"dstport": 80,
"duration": 605,
"end_reason": 4,
"end_time": 1594318194011,
"engid": "ad42005056a204db",
"engid_gateway": "",
"engid_name": "siemplify-sensor",
"event_category": "network",
"event_name": "user_agent_anomaly",
"event_score": 54,
"event_source": "rare_ml",
"event_status": "New",
"event_type": "conn",
"fidelity": 99,
"flow_score": 100,
"inbytes_delta": 2323,
"inbytes_total": 2323,
"inpkts_delta": 5,
"locid": "unassigned location",
"metadata": {
"request": {
"host": "dl.stellarcyber.ai",
"index": 1,
"method": "GET",
"server": "dl.stellarcyber.ai",
"uri": "/ubuntu/apt.gpg.key",
"user_agent": "curl/7.47.0"
},
"response": {
"code": 200,
"file_type": "data",
"index": 1,
"mime_type": "application/octet-stream",
"processing_time": 0,
"response_time": 199
}
},
"metadata.request.user_agent": "\"curl/7.47.0\"",
"msg_class": "interflow_traffic",
"msg_origin": {
"source": "network_sensor"
},
"msgtype": 4,
"msgtype_name": "startend",
"netid": 0,
"netid_name": "vlan0",
"obsid": 2887699152,
"orig_id": "4TfENHMByqrLS2zLZtWQ",
"orig_index": "aella-adr-1594315890054-",
"outbytes_delta": 570,
"outbytes_total": 570,
"outpkts_delta": 7,
"port_name": "ethernet0",
"processing_time": 0,
"proto": 6,
"proto_name": "tcp",
"response_time": 199,
"severity": 30,
"src_tuples": "00:50:56:a2:04:db.0.172.30.202.208",
"srcip": "172.30.202.208",
"srcip_geo": {
"city": "Unknown",
"countryCode": "UN",
"countryName": "Unknown"
},
"srcip_geo_point": "0.0,0.0",
"srcip_host": "172.30.202.208",
"srcip_reputation": "Good",
"srcip_type": "private",
"srcmac": "00:50:56:a2:04:db",
"srcport": 42344,
"start_time": 1594317594889,
"state": "Closed",
"tcp_rtt": 203,
"tenant_id": "",
"tenantid": "",
"threat_score": 0,
"timestamp": 1594318142374,
"tos": 0,
"totalbytes": 2893,
"totalpackets": 12,
"typical": 0,
"url": "dl.stellarcyber.ai/ubuntu/apt.gpg.key",
"url_reputation": "Good",
"vlan": 0,
"write_time": 1594318526414
},
"sort": [
1594318142374
]
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 (實體 / 一般) |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: If status code == 200 (is_success = true) Print "Successfully executed search in Stellar Cyber Starlight." 如果狀態碼為其他值 (is_success=false): Print "Action wasn't able to execute search in Stellar Cyber Starlight. 原因:{0}。(以換行符分隔的錯誤/根本原因/理由清單。) 動作應會失敗並停止執行應對手冊: II. 發生嚴重錯誤,例如憑證錯誤、無法連線至 伺服器,或其他錯誤: Print "Error executing action "Advanced Search". 原因:{0}''.format(error.Stacktrace) |
一般 |
更新安全性事件
說明
在 Stellar Cyber Starlight 中更新安全事件。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 索引 | 字串 | 不適用 | 是 | 指定安全性事件的索引。 |
| ID | 字串 | 不適用 | 是 | 指定安全事件的 ID。 |
| 狀態 | DDL | 請選取一項 可能的值: 請選取一項 新 |
否 | 指定安全事件的新狀態。 |
| 註解 | 字串 | 不適用 | 否 | 為安全性事件指定註解。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果狀態碼 == 200 (is_success = true):「Successfully updated event {event_id} in Stellar Cyber Starlight.」。 動作應會失敗並停止執行應對手冊: 如果發生嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「Error executing action "Update Security Event"。原因:{0}''.format(error.Stacktrace) 如果其他狀態碼 (is_success=false):執行「更新安全性事件」動作時發生錯誤。原因:{text from response} 如果未提供任何參數:執行「更新安全性事件」動作時發生錯誤。原因:「狀態」和「註解」至少要有一個值。 |
一般 |
連接器
Stellar Cyber Starlight - Security Events Connector
說明
從 Stellar Cyber Starlight 提取安全性事件。
在 Google SecOps 中設定 Stellar Cyber Starlight - Security Events Connector
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | event_data.event_name | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https://{ip}/connect/api/ | 是 | Stellar Cyber Starlight 執行個體的 API 根目錄。 |
| 使用者名稱 | 字串 | 不適用 | 是 | Stellar Cyber Starlight 帳戶的使用者名稱。 |
| API 金鑰 | 密碼 | 不適用 | 否 | Stellar Cyber Starlight 帳戶的 API 金鑰。 這個參數用於基本驗證。 如果同時提供 |
| API 權杖 | 密碼 | 不適用 | 否 | Stellar Cyber Starlight 帳戶的 API 權杖。 這個參數用於 JWT 驗證。 如果同時提供 |
| 要擷取的最低嚴重程度 | 整數 | 50 | 是 | 用於擷取事件的最低嚴重性。 |
| Fetch Max Hours Backwards | 整數 | 1 | 否 | 要擷取事件的小時數。 |
| 要擷取的事件數量上限 | 整數 | 50 | 否 | 每個連接器疊代要處理的事件數。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將允許清單視為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 如果啟用,請確認連線至 Stellar Cyber Starlight 伺服器的 SSL 憑證有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
| 緩衝期 | 整數 | 0 | 否 | 連接器執行的緩衝時間 (以小時為單位)。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。