Plataforma de seguridad de datos de Varonis
Versión de integración: 4.0
Casos prácticos de productos
- Ingiere alertas de Varonis para analizarlas en Google Security Operations.
- Actualiza las alertas de Varonis desde Google SecOps.
Product PermissionConfiguration
Para configurar Varonis de forma que funcione con Google SecOps, debes seguir estos pasos:
- Es necesario instalar un parche de API especial en la implementación de DatAdvantage. Ponte en contacto con el equipo de Varonis para obtener más información.
- El usuario que se utilizará para la integración debe tener los roles "Web UI User" y "DatAlertConfiguration" de DataAdvantage.
Configurar la integración de la plataforma de seguridad de datos de Varonis en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https://{ip address}:{port} | Sí | Especifica la URL de la API de la instancia de Varonis Data Security de destino. |
| Nombre de usuario | Cadena | N/A | Sí | Especifica el nombre de usuario con el que quieres conectarte. |
| Contraseña | Contraseña | N/A | Sí | Especifica la contraseña con la que quieres conectarte. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, se valida el certificado configurado para la raíz de la API. |
Acciones
Ping
Descripción
Prueba la conectividad con la plataforma de seguridad de datos de Varonis con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Ejemplos de casos prácticos de guías
Esta acción se usa para probar la conectividad en la página de configuración de la integración de la pestaña Google Security Operations Marketplace. Se puede ejecutar manualmente y no se usa en guías.
Fecha de ejecución
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
N/A
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo | |
|---|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente: "Successfully connected to the Varonis Data Security Platform with the provided connection parameters!" ("Se ha conectado correctamente a la plataforma de seguridad de datos de Varonis con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si no se resuelve correctamente: "No se ha podido conectar con la plataforma de seguridad de datos de Varonis. Error: {0}".format(exception.stacktrace) |
General |
Actualizar alerta
Descripción
Actualiza la alerta de la plataforma de seguridad de datos de Varonis.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| GUID de alerta | CSV | N/A | Sí | Especifica el GUID de la alerta que se va a actualizar. Esta acción se puede ejecutar en varias alertas. Se pueden especificar varias alertas como una cadena separada por comas. |
| Estado de la alerta | DDL | Selecciona una opción. Posibles valores:
|
Sí | Especifica el estado de la alerta que se va a actualizar. |
| Motivo del cierre | DDL | Sin proporcionar Posibles valores:
|
No | Especifica el motivo del cierre de la alerta. Cuando el estado de la alerta cambia a "Cerrada", se debe especificar el motivo del cierre. |
Ejemplos de casos prácticos de guías
Actualiza la alerta de DatAdvantage de Google SecOps.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
N/A
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo | |
|---|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la alerta se actualiza correctamente: "Alert(s) {0} were updated successfully".format(list of alerts) La acción debería fallar y detener la ejecución de la guía: Si no se ha podido actualizar la alerta: "Failed to update alert(s) {0} due to following error {1}".format(alert list, error code) Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Failed to execute "Update Alert" action!" ("No se ha podido ejecutar la acción "Update Alert"). Error: {0}".format(exception.stacktrace) |
General |
Conectores
Conector de alertas de la plataforma de seguridad de datos de Varonis
Descripción
El conector se puede usar para obtener alertas de la plataforma de seguridad de datos de Varonis. La lista dinámica de conectores se puede usar para filtrar alertas específicas para la ingestión en función del nombre de la alerta de la plataforma de seguridad de datos de Varonis.
Configurar el conector de alertas de la plataforma de seguridad de datos de Varonis en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | device_product | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | Tipo | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| PythonProcessTimeout | Entero | 300 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | https://{ip address}:{port} | Sí | Especifica la URL de la API de la instancia de la plataforma de seguridad de datos de Varonis de destino. |
| Nombre de usuario | Cadena | N/A | Sí | Especifica el nombre de usuario con el que quieres conectarte. |
| Contraseña | Contraseña | N/A | Sí | Especifica la contraseña con la que quieres conectarte. |
| Máximo de días hacia atrás | Entero | 3 | Sí | Obtiene alertas de hace X días. |
| Número máximo de alertas por ciclo | Entero | 10 | Sí | Obtiene X alertas por ciclo de conector. |
| Número máximo de eventos por alerta de Varonis | Entero | 25 | Sí | Número máximo de eventos que obtiene el conector para la alerta de la plataforma de seguridad de datos de Varonis. |
| Estado | CSV | Abierta, En proceso de investigación o Cerrada | Sí | Estados de las alertas de la plataforma de seguridad de los datos que se van a obtener. |
| Gravedad | CSV | Bajo, Medio y Alto | Sí | Gravedad de las alertas de la plataforma de seguridad de datos que se van a obtener. |
| Inhabilitar Desbordamiento | Casilla | Marcada | No | Si está habilitado, el conector ignora el mecanismo de desbordamiento de Google SecOps al crear alertas. |
| Usar lista dinámica como lista de bloqueo | Casilla | Desmarcada | Sí | Si está habilitada, el conector usa los nombres de alerta especificados en la lista dinámica como lista de bloqueo. Solo ingiere las alertas que no coinciden con la lista dinámica. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, se valida el certificado configurado para la raíz de la API. |
| Plantilla de nombre de alerta | Cadena | [Name] | Si se proporciona, el conector usa este valor para el nombre de la alerta de Google SecOps. Puedes proporcionar marcadores de posición con el siguiente formato: [nombre del campo]. Ejemplo: Alerta de Varonis: [nombre]. Nota: El conector usa primero el evento CSOAR para los marcadores de posición. Solo se gestionan las claves que tienen un valor de cadena. Si no se proporciona nada o el usuario proporciona una plantilla no válida, el conector usa el nombre de alerta predeterminado: [name]. |
|
| Plantilla del generador de reglas | Cadena | [Name] | Si se proporciona, el conector usa este valor para el valor del generador de reglas de Google SecOps. Puedes proporcionar marcadores de posición con el siguiente formato: [nombre del campo]. Ejemplo: Alerta de Varonis: [nombre]. Nota: El conector usa primero el evento de Google SecOps para los marcadores de posición. Solo se gestionan las claves que tienen un valor de cadena. Si no se proporciona nada o el usuario proporciona una plantilla no válida, el conector utiliza el generador de reglas predeterminado: [name]. |
|
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
Compatibilidad con proxy
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.