Cyberint
Versão da integração: 4.0
Configure a integração da Cyberint no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{instance}.cyberint.io | Sim | Raiz da API da instância da Cyberint. |
| Chave de API | Palavra-passe | N/A | Sim | Chave da API da instância da Cyberint. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, verifique se o certificado SSL para a ligação ao servidor da Cyberint é válido. |
Exemplos de utilização
Carregamento de alertas
Ações
Tchim-tchim
Descrição
Teste a conetividade com a Cyberint com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Executar em
A ação não usa entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída\* | A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação ao servidor da Cyberint estabelecida com êxito com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: "Não foi possível estabelecer ligação ao servidor da Cyberint! O erro é {0}".format(exception.stacktrace) |
Geral |
Atualizar alerta
Descrição
Atualize o alerta na Cyberint.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do alerta | Nome | N/A | Sim | Especifique o ID do alerta cujo estado tem de ser atualizado. |
| Estado | LDD | Selecione uma opção Valores possíveis:
|
Não | Especifique o estado do evento. Nota: se selecionar "Fechado", também tem de indicar o parâmetro "Motivo do encerramento". |
| Motivo do encerramento | LDD | Selecione uma opção Valores possíveis:
|
Não | Especifique o motivo do encerramento para o estado de encerramento. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for comunicado o código de estado 200 (is_success = true): "Successfully updated the alert with ID "{alert_id}" in Cyberint." (Alerta com o ID "{alert_id}" atualizado com êxito no Cyberint.) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Atualizar estado do alerta". Motivo: {0}''.format(error.Stacktrace) Se for apresentado "Selecionar uma": "Erro ao executar a ação "Atualizar estado do alerta". Motivo: "Status" tem de ser indicado.'' Se o parâmetro "Status" estiver definido como "Closed", mas o parâmetro "Closure Reason" não for fornecido: "Error executing action "Update Alert Status". Motivo: se o "Estado" for "Fechado", tem de indicar o "Motivo do encerramento".'' |
Geral |
Conetores
Cyberint - Alerts Connector
Descrição
Extrair informações sobre alertas da Cyberint.
Configure o conetor de alertas da Cyberint no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | escrever | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{instance}.cyberint.io | Sim | Raiz da API da instância da Cyberint. |
| Chave de API | Palavra-passe | N/A | Sim | Chave da API da instância da Cyberint. |
| Gravidade mais baixa a obter | Número inteiro | N/A | Não | Risco mais baixo que tem de ser usado para obter alertas. Valores possíveis: baixo, médio, alto, muito alto. Se não for especificado nada, o conector carrega alertas com todas as gravidades. |
| Máximo de horas para trás | Número inteiro | 1 | Não | Número de horas a partir das quais recolher alertas. |
| Máximo de alertas a obter | Número inteiro | 100 | Não | O número de alertas a processar por iteração de conector. Predefinição: 100. |
| Use a lista de autorizações como uma lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a lista de autorizações é usada como uma lista negra. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, verifique se o certificado SSL para a ligação ao servidor da Cyberint é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras do conetor
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.