IntSights
Versão de integração: 20.0
Configure a integração do IntSights no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Ações
Adicionar nota
Descrição
Adicione uma nota ao alerta no IntSights.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do alerta | String | N/A | Sim | Especifique o ID do alerta ao qual quer adicionar uma nota. |
| Nota | String | N/A | Sim | Especifique a nota para o alerta. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido (is_success=true): "Successfully add a note to the alert with ID '{0}' in Intsights ".format(alert id) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Adicionar nota". Motivo: {0}''.format(error.Stacktrace) Se for comunicado o código de estado 404: "Erro ao executar a ação "Adicionar nota". Motivo: não foi possível encontrar o alerta com o ID {alert id} no IntSights.' |
Geral |
Pergunte a um analista
Descrição
Pergunte a um analista sobre o alerta no IntSights.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do alerta | String | N/A | Sim | Especifique o ID do alerta sobre o qual quer perguntar ao analista. |
| Comentário | String | N/A | Sim | Especifique o comentário para o analista. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "Successfully asked analyst in the alert with ID '{0}' in Intsights ".format(alert id) Se for comunicado o código de estado 400 ou 500: "Não foi possível pedir ao analista no alerta com o ID {0} no Insights. Reason: {1}.".format(alert_id, response string) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Pedir a um analista". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Atribuir alerta
Descrição
Atribuir alerta a um analista no IntSights.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do alerta | String | N/A | Sim | Especifique o ID do alerta no qual quer alterar a atribuição. |
| ID do responsável | String | N/A | Não | Especifique o ID do analista que deve ser atribuído ao alerta. |
| Endereço de email do destinatário | String | N/A | Não | Especifique o endereço de email do analista que deve ser atribuído ao alerta. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido com o ID do responsável: "Successfully assigned analyst with ID '{0}' to the alert with ID {1} in Intsights ".format(assignee id, alert id) Se for bem-sucedido com o endereço de email do responsável: "Successfully assigned analyst with email address '{0}' to the alert with ID {1} in Intsights ".format(assignee email address, alert id) Se o cessionário não for encontrado, o código de estado é 400 e funcionou com o ID do cessionário: "Não foi possível alterar a atribuição no alerta com o ID {0}. Motivo: não foi encontrado o cessionário com o ID {1}.".format(alert_id, assignee id)"
Se for comunicado o código de estado 400 ou 500: "Não foi possível alterar a atribuição no alerta com o ID {0}. Motivo: {1}.".format(alert_id, response) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Atribuir alerta". Motivo: {0}''.format(error.Stacktrace) Se os parâmetros "ID do cessionário" e "Endereço de email do cessionário" não forem especificados: "Deve especificar o ID ou o endereço de email do cessionário." |
Geral |
Fechar alerta
Descrição
Feche o alerta no IntSights.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do alerta | String | N/A | Sim | Especifique o ID do alerta que quer fechar. |
| Motivo | LDD | Problema resolvido Valores possíveis:
|
Sim | Especifique o motivo pelo qual o alerta tem de ser fechado. |
| Informações adicionais | String | N/A | Não | Especifique informações adicionais que expliquem por que motivo o alerta deve ser fechado. |
| Taxa | Número inteiro | 5 | Não | Especifique a classificação do alerta. O máximo é 5. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Successfully closed the alert with ID '{0}' in Intsights ".format(alert id) Se for comunicado o código de estado 400: "Não foi possível fechar o alerta com o ID {0} no Intsights. Reason: {1}.".format(alert_id, response string) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Fechar alerta". Motivo: {0}''.format(error.Stacktrace) Se o parâmetro "Rate" não estiver no intervalo de 1 a 5: "O valor da classificação deve estar no intervalo de 1 a 5." |
Geral |
Transferir CSV de alertas
Descrição
Transfira um ficheiro CSV com informações relacionadas com o alerta no IntSights.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do alerta | String | N/A | Sim | Especifique o ID do alerta para o qual quer transferir o CSV. |
| Caminho da pasta de transferência | String | N/A | Sim | Especifique o caminho para a pasta onde quer armazenar o ficheiro CSV. |
| Substituir | Caixa de verificação | N/A | Não | Se estiver ativada, a ação substitui o ficheiro com o mesmo nome. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"absolute_paths": ["/opt/file_1"]
}
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido para, pelo menos, um CSV (is_success=true): "Successfully downloaded CSV for the alert with ID {0} in Intsights:".format(alert_id) Se o código de estado 400 for comunicado (is_success=true): "Não foram encontradas informações CSV para o alerta com o ID {alert_id} no Intsights." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Transferir CSV de alerta". Motivo: {0}''.format(error.Stacktrace) Se já existir um ficheiro com o mesmo nome, mas "Overwrite" estiver definido como falso: "Erro ao executar a ação "Transferir CSV de alerta". Motivo: já existe um ficheiro com o caminho {0}. Elimine o ficheiro ou defina "Overwrite" como verdadeiro." Se for comunicado o código de estado 404: "Erro ao executar a ação "Transferir CSV de alerta". Motivo: não é possível encontrar o alerta com o ID {ID}' |
Geral |
Get Alert Image
Descrição
Recupere informações sobre imagens de alertas no IntSights.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| IDs das imagens de alertas | CSV | N/A | Sim | Especifique a lista de IDs de imagens de alertas separados por vírgulas. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"image_name": "5b59daf4bdafd90xxxxxx",
"image_base64_content": "image content in base64"
}
]
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito para, pelo menos, uma imagem: "Successfully retrieved images from the following IDs in Intsights:".format(list of ids) Se não for bem-sucedido para, pelo menos, uma imagem: "Action wasn't able to successfully retrieve images from the following IDs in Intsights:\n".format(list of ids) Se não for bem-sucedido para todas as imagens: "Não foram obtidas imagens". A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Get Alert Image". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Tchim-tchim
Descrição
Verifique a conetividade.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada na entidade URL.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Reabrir alerta
Descrição
Reabra o alerta no IntSights.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do alerta | String | N/A | True | Especifique o ID do alerta que quer reabrir. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Successfully reopened the alert with ID '{0}' in Intsights ".format(alert id) Se for comunicado o código de estado 400: "Não foi possível reabrir o alerta com o ID {0} no Insights. Reason: {1}.".format(alert_id, response string) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Reabrir alerta". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Pesquise IOCs
Descrição
Organize e pesquise todos os seus IOCs num único painel de controlo fácil de usar. O painel de controlo da TIP centralizada resume os IOCs por gravidade e nível de confiança, para que possa compreender facilmente que IOCs maliciosos representam o maior risco para a sua organização.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
{
"Status": "Active",
"Domain": "sephoratv.com",
"Severity":
{
"Status": "done",
"LastUpdate": "2019-01-20T04:32:58.833Z",
"Features":
[{
"Score": 10, "Name": "base_intsights_multiple",
"Match": 1
},
{
"Score": 0,
"Name": "domain_associated_malware_names",
"Match": 0
},
{
"Score": 0,
"Name": "domain_associated_malware_ip_addresses",
"Match": 1
}],
"LastUpdateMessage": "",
"Value": "Low",
"Score": 20
},
"SourceID": "59e376681bb0800644e1368f",
"Value": "sephoratv.com",
"Flags": {"IsInAlexa": false},
"LastSeen": "2019-01-20T04:24:27.258Z",
"_id": "5c43f80483df230007485c48",
"Type": "Domains",
"Enrichment":
{
"Status": "done",
"LastUpdate": "2019-01-20T04:32:58.613Z",
"Data":
{
"domain_status_blocked": false,
"latest_resolution_date": "2019-01-20T04:27:22.299Z",
"associated_malware_ip_addresses": ["185.16.44.132"],
"contact_emails": [],
"referencing_file_hashes": [],
"malware_category": [],
"mail_servers": ["a.mx.domainoo.fr."],
"associated_malware_names": [],
"threat_actor_category": [],
"campaigns": [],
"associated_malware_families": [],
"resolved_ips": ["185.16.44.132"],
"cve_ids": [],
"downloaded_file_hashes": [],
"domain_expired": false,
"communicating_file_hashes": ["210c2ddbf747220df645fc4d77e7decd1be7df27e43b2f79e4b45bd5fe0a2a6e"],
"name_servers": ["a.ns.domainoo.fr.",
"b.ns.domainoo.fr.",
"c.ns.domainoo.fr."],
"registrar": "N/A",
"threat_actors": []
}
},
"FirstSeen": "2019-01-20T04:24:27.258Z",
"AccountID": null
},
"Entity": "sephoratv.com"
}]
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| Estado | Devolve se existir no resultado JSON |
| Domínio | Devolve se existir no resultado JSON |
| Gravidade | Devolve se existir no resultado JSON |
| SourceID | Devolve se existir no resultado JSON |
| Valor | Devolve se existir no resultado JSON |
| Bandeiras | Devolve se existir no resultado JSON |
| LastSeen | Devolve se existir no resultado JSON |
| _id | Devolve se existir no resultado JSON |
| Tipo | Devolve se existir no resultado JSON |
| Enriquecimento | Devolve se existir no resultado JSON |
| FirstSeen | Devolve se existir no resultado JSON |
| AccountID | Devolve se existir no resultado JSON |
Estatísticas
Sim
Conetores
Conetor do Intsights
Descrição
Obtém problemas do Intsights para o Google SecOps.
Configure o conetor do Insights no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome do parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| DeviceProductField | String | Details_Source_NetworkType | O nome do campo usado para determinar o produto do dispositivo. |
| EventClassId | String | Details_Title | O nome do campo usado para determinar o nome do evento (subtipo). |
| PythonProcessTimeout | String | 60 | O limite de tempo (em segundos) para o processo Python que executa o script atual. |
| Raiz da API | String | https://api.intsights.com | A raiz da API do servidor Intsights. |
| ID da conta | String | N/A | O ID da conta com a qual iniciar sessão. |
| Chave de API | Palavra-passe | N/A | A chave da API para iniciar sessão. |
| Validar SSL | Caixa de verificação | Desmarcado | Se deve validar o certificado SSL do servidor. |
| Máximo de dias para trás | Número inteiro | 3 | Número máximo de dias anteriores a partir dos quais obter alertas. |
| Máximo de alertas por ciclo | Número inteiro | 10 | Número máximo de alertas a obter por ciclo de conector único. |
| Endereço do servidor proxy | String | N/A | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | A palavra-passe do proxy para autenticação. |
Regras do conetor
Suporte de proxy
O conetor suporta proxy.
Lista de autorizações/lista de bloqueios
O conector suporta regras de lista de autorizações/proibições.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.