Anomali STAXX を Google SecOps と統合する
このドキュメントでは、Anomali STAXX を Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 4.0
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| サーバー アドレス | 文字列 | https://<ip>:<port> | ○ | Anomali STAXX インスタンスのサーバー アドレス。 |
| ユーザー名 | 文字列 | なし | ○ | Anomali STAXX アカウントのユーザー名。 |
| パスワード | パスワード | なし | ○ | Anomali STAXX アカウントのパスワード。 |
| SSL を確認 | チェックボックス | オフ | いいえ | 有効になっている場合は、Anomali STAXX サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| リモートで実行 | チェックボックス | オン | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
Ping
[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Anomali STAXX への接続性をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合: 「指定された接続パラメータで Anomali STAXX サーバーに正常に接続しました。」 アクションが失敗し、ハンドブックの実行が停止します。 成功しなかった場合:「Anomali STAXX サーバーへの接続に失敗しました。エラーは {0} です。」format(exception.stacktrace) |
一般 |
コネクタ
Google SecOps でコネクタを構成する方法について詳しくは、データを取り込む(コネクタ)をご覧ください。
Anomali STAXX - インジケーター コネクタ
Anomali STAXX からインジケーターを取得します。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | はい |
商品名が保存されるフィールドの名前。 商品名は主にマッピングに影響します。コネクタのマッピング プロセスを合理化して改善するため、デフォルト値はコードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。 デフォルト値は |
| イベント フィールド名 | 文字列 | itype | はい | イベント名(サブタイプ)を特定するフィールドの名前。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前。 環境フィールドがない場合、コネクタはデフォルト値を使用します。 |
Environment Regex Pattern |
文字列 | .* | いいえ |
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | Int | 180 | はい | 現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。 |
| サーバー アドレス | 文字列 | https://<ip>:<port> | ○ | Anomali STAXX インスタンスのサーバー アドレス。 |
| ユーザー名 | 文字列 | なし | ○ | Anomali STAXX アカウントのユーザー名。 |
| パスワード | パスワード | なし | ○ | Anomali STAXX アカウントのパスワード。 |
| サーバー タイムゾーン | 文字列 | なし | いいえ | Anomali STAXX サーバーで、設定されているタイムゾーンを UTC 基準で指定します(+1 や -1 など)。何も指定しない場合、コネクタはデフォルトのタイムゾーンとして UTC を使用します。 |
| 取得する最も低い重大度 | 文字列 | 中 | ○ | 指標の取得に使用される最も低い重大度。 値は次のいずれかです。
|
| 取得される最も低い信頼度 | 整数 | 0 | いいえ | 指標の取得に使用される最も低い信頼度。 |
| 遡る取得の最大時間数 | 整数 | 1 | いいえ | インジケーターを取得する時点までの時間数。 このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーション、または期限切れのコネクタ タイムスタンプのフォールバック値に適用できます。 |
| 取得するインジケータの最大数 | 整数 | 50 | いいえ | 1 回のコネクタの反復処理で処理するインジケーターの数。 |
Use whitelist as a blacklist |
チェックボックス | オフ | はい | 選択すると、コネクタは動的リストを拒否リストとして使用します。 |
| SSL を確認する | チェックボックス | オフ | はい | 選択すると、Anomali STAXX サーバーに接続するときに SSL 証明書が検証されます。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタルール
コネクタはプロキシをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。