Cette page a été traduite par l'API Cloud Translation.

ExtraHop

Version de l'intégration : 4.0

Configurer l'intégration ExtraHop dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Racine de l'API	Chaîne		Oui	Racine de l'API de l'instance ExtraHop.
ID client	Chaîne	N/A	Oui	ID client de l'instance ExtraHop.
Code secret du client	Mot de passe	N/A	Oui	Code secret du client de l'instance ExtraHop.
Vérifier le protocole SSL	Case à cocher	Cochée	Oui	Si cette option est activée, vérifiez que le certificat SSL de la connexion au serveur ExtraHop est valide.

Cas d'utilisation des produits

Ingestion des alertes

Actions

Ping

Description

Testez la connectivité à ExtraHop avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.

Paramètres

N/A

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_succeed	Vrai/Faux	is_succeed:False

Mur des cas

Type de résultat	Valeur/Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "La connexion au serveur ExtraHop a bien été établie avec les paramètres de connexion fournis !" L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur ExtraHop. Error is {0}".format(exception.stacktrace)	Général

Type de résultat

Valeur/Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit : "La connexion au serveur ExtraHop a bien été établie avec les paramètres de connexion fournis !"

L'action doit échouer et arrêter l'exécution d'un playbook :

Si l'opération échoue : "Échec de la connexion au serveur ExtraHop. Error is {0}".format(exception.stacktrace)

Général

Mise à jour de la détection

Mettez à jour une détection dans ExtraHop.

Exécuter sur

Cette action ne s'applique pas aux entités.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de la détection	Chaîne	N/A	Oui	Spécifiez l'ID de la détection à mettre à jour.
État	LDD	Valeurs possibles : Fermé En cours Confirmé	Non	Spécifiez l'état de la détection.
Solution	LDD	Valeurs possibles : Mesure appliquée Aucune mesure appliquée	Non	Spécifiez la résolution de la détection. Si le paramètre "État" est défini sur "Fermé", le paramètre "Résolution" est obligatoire.
Attribuer à	Chaîne	N/A	Non	Spécifiez le nom de l'analyste auquel l'alerte doit être attribuée. Si l'option "Annuler l'attribution" est fournie, l'action supprimera l'attribution de l'alerte.

Sorties d'action

Type	Disponible
Résultat du script	Vrai
Résultat JSON	Vrai
Table d'enrichissement	Faux
Tableau du mur des cas	Faux
Lien vers le mur des cas	Faux
Pièce jointe au mur des cas	Faux

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

 0: {
   "id": 4294967299,
   "start_time": 1693795020000,
   "update_time": 1693805700000,
   "end_time": 1694198520000,
   "title": "LLMNR Activity",
   "description": "[EVAL\\-W2019\\-PRD](https://wwt-mand.cloud.extrahop.com#/
   // metrics/devices/d0ded7fd86f0459890394969c49d2bf6.005056bd27330000/
   // overview?from=1693795020&interval_type=DT&until=1694198520) sent
   // Link-Local Multicast Name Resolution (LLMNR) requests that are part of an
   // internal broadcast query to resolve a hostname. The LLMNR protocol is 
   // known to be vulnerable to attacks.",
   "risk_score": 30,
   "type": "llmnr_activity_individual",
   "recommended_factors": [],
   "recommended": false,
   "categories": [
       "sec",
       "sec.hardening"
   ],
   "properties": {},
   "participants": [
       {
           "role": "offender",
           "scanner_service": null,
           "endpoint": null,
           "external": false,
           "object_id": 4294967305,
           "object_type": "device",
           "username": null,
           "id": 2
       }
   ],
   "ticket_id": null,
   "assignee": "ankita.shakya@wwtatc.com",
   "status": "in_progress",
   "resolution": null,
   "mitre_tactics": [],
   "mitre_techniques": [],
   "appliance_id": 1,
   "is_user_created": false,
   "mod_time": 1694790591224,
   "create_time": 1693795051521,
   "url": "https://wwt-mand.cloud.extrahop.com/extrahop/#/detections/detail/4294
   // 967299/?from=1693794120&until=1694199420&interval_type=DT"
}

Mur des cas

Type de résultat	Valeur/Description	Type (entité \ général)
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : if returned info (is_success = true): print "Successfully updated detection with ID {detection id} in Extrahop." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale s'est produite (par exemple, des identifiants incorrects, une absence de connexion au serveur, etc.) : print "Error executing action "Update Detection". Raison : {0}''.format(error.Stacktrace) Si aucune détection n'est trouvée (code d'état 404) : Erreur lors de l'exécution de l'action "Mettre à jour la détection". Motif : la détection associée à l'ID {alert id} est introuvable dans ExtraHop. Veuillez vérifier l'orthographe." Si "type": "request_error" : Erreur lors de l'exécution de l'action "Mettre à jour la détection". Motif : {detail}" Si l'état est"Sélectionnez une option " et que rien n'est indiqué dans "Assigné à" : Erreur lors de l'exécution de l'action "Mettre à jour la détection". Motif : au moins l'un des paramètres"État " ou"Assigné à" doit avoir une valeur.	Général

Type de résultat

Valeur/Description

Type (entité \ général)

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

if returned info (is_success = true):

print "Successfully updated detection with ID {detection id} in Extrahop."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale s'est produite (par exemple, des identifiants incorrects, une absence de connexion au serveur, etc.) :

print "Error executing action "Update Detection". Raison : {0}''.format(error.Stacktrace)

Si aucune détection n'est trouvée (code d'état 404) :

Erreur lors de l'exécution de l'action "Mettre à jour la détection". Motif : la détection associée à l'ID {alert id} est introuvable dans ExtraHop. Veuillez vérifier l'orthographe."

Si "type": "request_error" :

Erreur lors de l'exécution de l'action "Mettre à jour la détection". Motif : {detail}"

Si l'état est"Sélectionnez une option " et que rien n'est indiqué dans "Assigné à" :

Erreur lors de l'exécution de l'action "Mettre à jour la détection". Motif : au moins l'un des paramètres"État " ou"Assigné à" doit avoir une valeur.

Général

Connecteurs

ExtraHop : connecteur de détections

Description

Extrayez des informations sur les détections à partir d'ExtraHop. Remarque : Le filtre de liste blanche fonctionne avec le paramètre "type".

Configurer le connecteur ExtraHop – Detections dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom du champ de produit	Chaîne	Nom du produit	Oui	Saisissez le nom du champ source pour récupérer le nom du champ produit.
Nom du champ d'événement	Chaîne	type	Oui	Saisissez le nom du champ source pour récupérer le nom du champ d'événement.
Nom du champ "Environnement"	Chaîne	""	Non	Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut.
Modèle d'expression régulière de l'environnement	Chaîne		Non	Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est . pour tout intercepter et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement final est celui par défaut.
Délai avant expiration du script (en secondes)	Integer	180	Oui	Délai avant expiration du processus Python exécutant le script actuel.
Racine de l'API	Chaîne	https://{instance}.api.cloud.extrahop.com	Oui	Racine de l'API de l'instance ExtraHop.
ID client	Chaîne	N/A	Oui	ID client de l'instance ExtraHop.
Code secret du client	Mot de passe	N/A	Oui	Code secret du client de l'instance ExtraHop.
Score de risque le plus faible à récupérer	Integer	N/A	Non	Score de risque le plus faible à utiliser pour récupérer les détections. Maximum : 100. Si vous ne fournissez aucune valeur, le connecteur ingère les détections avec tous les scores de risque.
Nombre maximal d'heures en arrière	Integer	1	Non	Nombre d'heures à partir desquelles récupérer les détections.
Nombre maximal de détections à récupérer	Integer	100	Non	Nombre de détections à traiter par itération de connecteur. Valeur par défaut : 100.
Utiliser la liste blanche comme liste noire	Case à cocher	Décochée	Oui	Si cette option est activée, la liste blanche sera utilisée comme liste noire.
Vérifier le protocole SSL	Case à cocher	Cochée	Oui	Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur ExtraHop est valide.
Adresse du serveur proxy	Chaîne	N/A	Non	Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy	Chaîne	N/A	Non	Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy	Mot de passe	N/A	Non	Mot de passe du proxy pour l'authentification.

Règles du connecteur

Assistance de proxy

Le connecteur est compatible avec le proxy. Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.