QRadar
Versión de integración: 56.0
Despliegues de QRadar admitidos
Esta integración admite implementaciones de QRadar locales y en la nube.
Acceso de red a QRadar
Acceso a la API de Google Security Operations a QRadar: permite el tráfico a través del puerto 443 (HTTPS) o según se haya configurado en tu entorno.
Definir permisos de QRadar
Si creas un usuario y un perfil de seguridad de Google SecOps específicos en QRadar (como se indica en los pasos siguientes), obtendrás un control más granular sobre los permisos. Este enfoque es opcional, pero recomendable.
Una integración de QRadar también puede funcionar con una cuenta de administrador.
Crear un usuario de Google SecOps {:.hide-from-toc}
En QRadar, haga clic en el icono de la parte superior izquierda.
Vaya a Administrar y haga clic en Usuarios.
Haz clic en Nuevo y rellena la información para crear un usuario administrador.
Crear un perfil de seguridad de Google SecOps
Ve a Administración > Gestión de usuarios > Perfiles de seguridad.
Crea un perfil con los siguientes ajustes:
- Precedencia de permisos: sin restricciones
- Orígenes del registro: todos los grupos de orígenes del registro
- Red: todas
- Dominios: todos los dominios
Implementar cambios
Haz clic en Implementar en la pantalla.
Crear un servicio autorizado para acceder a la API
Vaya a Administrar > Gestión de usuarios > Servicios autorizados.
Crea un servicio con los siguientes ajustes:
- Nombre del servicio: Siemplify_Application_User
- Rol de usuario: administrador
- Perfil de seguridad: administrador
- Fecha de vencimiento: sin vencimiento
Copia la clave de autenticación generada y úsala en los ajustes de integración de Google SecOps (asistente de implementación).
Configurar la integración de QRadar en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| Raíz de la API | Cadena | https://IP_ADDRESS |
Sí | Ruta de la URL que apunta al servidor de QRadar. |
| Token de API | Contraseña | N/A | Sí | Token de seguridad de la API para la autenticación. |
| Versión de la API | Cadena | N/A | No | La versión de la API utilizada. |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Consulta de flujos similares
Descripción
Ejecuta una consulta AQL predefinida para encontrar flujos relacionados con la entidad de dirección IP de Google SecOps especificada.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Diferencia horaria en minutos | Entero | 10 | No | Obtiene los flujos de los últimos x minutos. El parámetro acepta valores numéricos, como 10. |
| Límite de flujos que se pueden obtener | Entero | 23 | Sí | Limita los flujos que puede devolver la acción. El parámetro acepta valores numéricos, como 10. |
| Campos que se van a mostrar | Cadena | N/A | No | Campos que se obtendrán del flujo, además de los predefinidos. Si no se define, la acción devuelve campos predefinidos para el flujo. |
| Nombre del campo de dirección IP de origen | Cadena | N/A | No | Campos que representan el campo de dirección IP de origen del flujo. |
| Nombre del campo de dirección IP de destino | Cadena | N/A | No | Campos que representan el campo de dirección IP de destino del flujo. |
Ejemplo de caso práctico de guía
Obtiene información de QRadar sobre los flujos registrados para la dirección IP específica durante los últimos x minutos.
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"flows": [
{
"destinationflags": 27,
"destinationpackets": 5.0,
"sourcebytes": 522.0,
"protocolid": 6,
"sourceip": "195.200.72.148",
"destinationbytes": 571.0,
"lastpackettime": 1585057251000,
"sourceflags": 27,
"sourcepackets": 5.0,
"qid": 53268795,
"flowtype": 0,
"destinationip": "37.28.155.22",
"firstpackettime": 1585057224000,
"category": 18448,
"source hostname": null,
"destination hostname": null
},
{
"destinationflags": null,
"destinationpackets": 0.0,
"sourcebytes": 78.0,
"protocolid": 17,
"sourceip": "195.200.72.148",
"destinationbytes": 0.0,
"lastpackettime": 1585057220000,
"sourceflags": null,
"sourcepackets": 1.0,
"qid": 53258563,
"flowtype": 0,
"destinationip": "8.8.8.8",
"firstpackettime": 1585057177000,
"category": 18438,
"source hostname": null,
"destination hostname": null
},
...
]
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
| Tabla | Flujos similares para la entidad: {0}".format(Siemplify.entity.identifier) Encabezados:... |
Entidad |
Consulta de eventos similares
Descripción
Ejecuta una consulta AQL predefinida para buscar eventos relacionados con las entidades de dirección IP, nombre de host o nombre de usuario de Google SecOps especificadas.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Diferencia horaria en minutos | Entero | 10 | No | Obtiene los flujos de los últimos x minutos. El parámetro acepta valores numéricos, como 10. |
| Límite de eventos que se van a obtener | Entero | 25 | Sí | Limita los eventos que puede devolver la acción. El parámetro acepta valores numéricos, como 25. |
| Campos que se van a mostrar | CSV | N/A | No | Campos que se van a obtener del evento, además de los predefinidos. Si no se define, la acción devuelve campos predefinidos del evento. |
| Nombre del campo de nombre de host | Cadena | N/A | No | Campo que representa el campo Nombre de host del evento. |
| Nombre del campo de dirección IP de origen | Cadena | N/A | No | Campos que representan el campo de dirección IP de origen del flujo. |
| Nombre del campo de dirección IP de destino | Cadena | N/A | No | Campos que representan el campo de dirección IP de destino del flujo. |
| Nombre del campo de nombre de usuario | Cadena | N/A | No | Campos que representan el campo Nombre de usuario del evento. |
Ejemplo de casos prácticos
Obtiene información de QRadar sobre los eventos registrados para la entidad especificada durante los últimos x minutos.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
- Usuario
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"events": [
{
"starttime": 1585288010745,
"protocolid": 255,
"sourceip": "10.0.100.250",
"logsourceid": 62,
"qid": 18750001,
"sourceport": 0,
"eventcount": 1,
"magnitude": 10,
"identityip": "0.0.0.0",
"destinationip": "10.0.100.250",
"destinationport": 0,
"category": 10008,
"username": null,
"hostname": null
},
{
"starttime": 1585288010745,
"protocolid": 255,
"sourceip": "10.0.100.250",
"logsourceid": 62,
"qid": 18750001,
"sourceport": 0,
"eventcount": 1,
"magnitude": 10,
"identityip": "0.0.0.0",
"destinationip": "10.0.100.250",
"destinationport": 0,
"category": 10008,
"username": null,
"hostname": null
},
...
]
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
| Tabla | Flujos similares para la entidad: {0}".format(Siemplify.entity.identifier) Encabezados:... |
Entidad |
Búsqueda de AQL de QRadar
Descripción
Ejecuta una consulta AQL arbitraria en la instancia de QRadar. La acción devuelve un resultado en formato CSV.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Formato de consulta | Cadena | N/A | Sí | Formato de consulta que se va a ejecutar. Por ejemplo, "Select * from flows limit 10 last 10 minutes". |
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| resultados | N/A | N/A |
Resultado de JSON
{
"events": [
{
"username": "None",
"category": 4003,
"starttime": 1548682790158,
"destinationip": "1.1.1.1",
"eventcount": 13,
"qid": 20257872,
"magnitude": 3,
"destinationport": 53,
"protocolid": 17,
"sourceport": 50597,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}, {
"username": "None",
"category": 8053,
"starttime": 1548682800217,
"destinationip": "1.1.1.1",
"eventcount": 1,
"qid": 20280296,
"magnitude": 3,
"destinationport": 443,
"protocolid": 6,
"sourceport": 49230,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}
]
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debería fallar ni detener la ejecución de una guía
La acción debería fallar y detener la ejecución de la guía:
|
General |
| Tabla | "Resultados de la consulta" Encabezados:... |
General |
Ping
Descripción
Prueba la conectividad con una instancia de QRadar.
Parámetros
N/A
Casos prácticos previstos
Comprobar si el acceso al sistema de destino se realiza correctamente o no con los parámetros proporcionados en la configuración de la integración en la página de Google Security Operations Marketplace.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía.
La acción debería fallar y detener la ejecución de la guía:
|
General |
Buscar un valor en un conjunto de referencias
Descripción
Comprueba si un valor se incluye en un conjunto de referencias específico.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre | Cadena | N/A | Sí | Nombre del conjunto de referencias para comprobar un valor. |
| Valor | Cadena | N/A | Sí | Valor que se va a comprobar en un conjunto referenciado. |
Ejemplo de caso práctico de guía
Se ha detectado que una IP es maliciosa en la ejecución de un playbook. Comprueba si aparece en el conjunto de referencia Malicious_IPs.
Fecha de ejecución
Esta acción no se ejecuta en las entidades de Google SecOps.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"timeout_type": "FIRST_SEEN",
"number_of_elements": 1,
"data": [
{
"last_seen": 1611149814345,
"first_seen": 1611149814345,
"source": "admin",
"value": "192.168.10.230",
"domain_id": null
}
],
"creation_time": 1440695740583,
"name": "Critical Assets",
"namespace": "SHARED",
"element_type": "IP",
"collection_id": 20
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Esta acción no debería fallar ni detener la ejecución de la guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
Buscar un valor en un mapa de referencia
Descripción
Comprueba si un valor aparece en un mapa de referencia específico.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre | Cadena | N/A | Sí | Nombre del mapa de referencia para comprobar un valor. |
| Valor | Cadena | N/A | Sí | Valor que se va a comprobar en un mapa referenciado. |
Ejemplo de caso práctico de guía
Comprueba si un nombre de usuario tiene permiso para acceder a una IP determinada en función de los valores del mapa de referencia.
Fecha de ejecución
Esta acción no se ejecuta en las entidades de Google SecOps.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"1001": {
"last_seen": 1583903726952,
"first_seen": 1583903726952,
"source": "reference data api",
"value": "jack"
}
}
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Esta acción no debería fallar ni detener la ejecución de la guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
Buscar un valor en el mapa de referencia de conjuntos
Descripción
Comprueba si un valor se incluye en un mapa de referencia específico de conjuntos.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre | Cadena | N/A | Sí | Nombre del mapa de referencia de conjuntos para comprobar un valor. |
| Valor | Cadena | N/A | Sí | Valor que se va a comprobar en un mapa de conjuntos referenciado. |
Ejemplo de casos prácticos
Comprueba si un nombre de usuario tiene permiso para acceder a una IP determinada en función del mapa de referencia de los valores definidos.
Fecha de ejecución
Esta acción se ejecuta en las entidades de Google SecOps.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
"data": {
"192.168.1.1": [
{
"last_seen": 1583912905418,
"first_seen": 1583912905418,
"source": "reference data api",
"value": "jack, john, huey"
},
{
"last_seen": 1583913398524,
"first_seen": 1583913398524,
"source": "reference data api",
"value": "zz"
},
{
"last_seen": 1583913639025,
"first_seen": 1583913639025,
"source": "reference data api",
"value": "jane"
}
]
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Esta acción no debería fallar ni detener la ejecución de la guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
Buscar un valor en tablas de referencia
Descripción
Comprueba si un valor aparece en una tabla de referencia específica.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre | Cadena | N/A | Sí | Nombre de la tabla de referencia para comprobar un valor. |
| Valor | Cadena | N/A | Sí | El valor que se va a comprobar en una tabla de referencia. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"Source_IP": {
"port": {
"last_seen": 1583933682283,
"first_seen": 1583933682283,
"source": "reference data api",
"value": "8080"
}
},
"192.168.1.1": {
"port": {
"last_seen": 1583990995600,
"first_seen": 1583990995600,
"source": "reference data api",
"value": "8080"
}
}
}
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Esta acción no debería fallar ni detener la ejecución de la guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
Buscar una clave en un mapa de referencia
Descripción
Comprueba si una clave aparece en un mapa de referencia específico.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre | Cadena | N/A | Sí | Nombre del mapa de referencia para comprobar un valor. |
| Clave | Cadena | N/A | Sí | Clave que se va a comprobar en un mapa de referencia. |
Ejemplo de casos prácticos
Comprueba si un nombre de usuario tiene permiso para acceder a una IP determinada en función de los valores del mapa de referencia.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"1001": {
"last_seen": 1583903726952,
"first_seen": 1583903726952,
"source": "reference data api",
"value": "jack"
}
}
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Esta acción no debería fallar ni detener la ejecución de la guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
Búsqueda de una clave en el mapa de referencia de conjuntos
Descripción
Comprueba si una clave aparece en un mapa de referencia específico de conjuntos.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre | Cadena | N/A | Sí | Nombre del mapa de referencia de conjuntos para comprobar un valor. |
| Clave | Cadena | N/A | Sí | La clave que se va a comprobar en un mapa de conjuntos referenciado. |
Ejemplo de casos prácticos
Comprueba si un nombre de usuario tiene permiso para acceder a una IP determinada en función del mapa de referencia de los valores definidos.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
"data": {
"192.168.1.1": [
{
"last_seen": 1583912905418,
"first_seen": 1583912905418,
"source": "reference data api",
"value": "jack, john, huey"
},
{
"last_seen": 1583913398524,
"first_seen": 1583913398524,
"source": "reference data api",
"value": "zz"
},
{
"last_seen": 1583913639025,
"first_seen": 1583913639025,
"source": "reference data api",
"value": "jane"
}
]
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* |
Esta acción no debería fallar ni detener la ejecución de la guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
Mostrar conjuntos de referencias
Descripción
Lista los conjuntos de referencias disponibles en QRadar.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Campos que se van a devolver | Cadena | N/A | No | Especifica los campos que debe devolver la acción. Si no se proporciona nada, la acción devuelve todos los campos disponibles de forma predeterminada. El parámetro acepta varios valores separados por comas. |
| Condición de filtro | Cadena | N/A | No | Especifica una condición de filtro para devolver solo elementos concretos. Por ejemplo: element_type = IP |
| Número de elementos que se deben devolver | Entero | 25 | Sí | Especifica el número máximo de elementos que debe devolver la acción. |
Ejemplo de casos prácticos
Lista los elementos disponibles de la referencia.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"name": "Critical Assets",
"element_type": "IP"
},
{
"name": "Asset Reconciliation IPv4 Blocklist",
"element_type": "IP"
},
{
"name": "Proxy Servers",
"element_type": "IP"
}
]
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* |
Esta acción no debería fallar ni detener la ejecución de la guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
Mostrar mapas de referencia
Descripción
Lista de mapas de referencia disponibles en QRadar.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Campos que se van a devolver | Cadena | N/A | No | Especifica los campos que debe devolver la acción. Si no se proporciona nada, la acción devuelve todos los campos disponibles de forma predeterminada. Este parámetro acepta varios valores separados por comas. |
| Condición de filtro | Cadena | N/A | No | Especifica una condición de filtro para devolver solo elementos específicos. Por ejemplo: element_type = ALNIC |
| Número de elementos que se deben devolver | Entero | 25 | Sí | Especifica el número máximo de elementos que debe devolver la acción. |
Ejemplo de casos prácticos
Lista los elementos disponibles de la referencia.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"name": "User1",
"element_type": "ALNIC"
},
{
"name": "User",
"element_type": "ALNIC"
}
]
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* |
Esta acción no debería fallar ni detener la ejecución de la guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
List Reference Maps of Sets
Descripción
Lista de mapas de referencia de conjuntos disponibles en QRadar.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Campos que se van a devolver | Cadena | N/A | No | Especifica los campos que debe devolver la acción. Si no se proporciona nada, la acción devuelve todos los campos disponibles de forma predeterminada. Este parámetro acepta varios valores separados por comas. |
| Condición de filtro | Cadena | N/A | No | Especifica una condición de filtro para devolver solo elementos concretos. Por ejemplo: element_type = ALN |
| Número de elementos que se deben devolver | Entero | 25 | Sí | Especifica el número máximo de elementos que debe devolver la acción. |
Ejemplo de casos prácticos
Lista los elementos disponibles de la referencia.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"name": "CorrelatedAttackMap",
"element_type": "ALN"
},
{
"name": "TestMapOfSets",
"element_type": "ALN"
}
]
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* |
Esta acción no debería fallar ni detener la ejecución de la guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
Mostrar tablas de referencia
Descripción
Lista las tablas de referencia disponibles en QRadar.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Campos que se van a devolver | Cadena | N/A | No | Especifica los campos que debe devolver la acción. Si no se indica nada, la acción devolverá todos los campos disponibles de forma predeterminada. El parámetro acepta varios valores separados por comas. |
| Condición de filtro | Cadena | N/A | No | Especifica una condición de filtro para devolver solo elementos concretos. Por ejemplo: element_type = ALN |
| Número de elementos que se deben devolver | Entero | 25 | Sí | Especifica el número máximo de elementos que debe devolver la acción. |
Ejemplo de casos prácticos
Lista los elementos disponibles de la referencia.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"name": "TestTable2",
"element_type": "ALN"
},
{
"name": "TestTable3",
"element_type": "ALN"
}
]
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* |
Esta acción no debería fallar ni detener la ejecución de la guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
Añadir nota de infracción
Descripción
Añadir una nota a una ofensa de QRadar.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de infracción | Entero | N/A | Sí | ID de la infracción a la que se va a añadir una nota. |
| Texto de la nota | Cadena | N/A | Sí | Texto de la nota que se va a añadir a la infracción. |
Ejemplo de casos prácticos de la guía
Añade una nota sobre una ofensa de QRadar desde Google SecOps.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* |
Esta acción no debería fallar ni detener la ejecución de la guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
Update Offense
Descripción
Actualiza la infracción de QRadar.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de infracción | Entero | N/A | Sí | ID de la infracción que se va a actualizar. |
| Asignado a | Cadena | N/A | No | Inicio de sesión del usuario al que se le asignará la infracción. |
| Estado | DDL | " " | No | Nuevo estado de la infracción. |
| Motivo del cierre | Cadena | N/A | No | Si el estado de la infracción es Cerrado, debe proporcionar un motivo de cierre de QRadar. |
| Seguimiento | Casilla | Casilla desmarcada | No | Especifica si la infracción debe marcarse como seguimiento. |
| Protección | Casilla | Casilla desmarcada | No | Especifica si la ofensa debe marcarse como protegida. |
Ejemplo de casos prácticos de la guía
Actualiza el estado de las ofensas de QRadar desde Google SecOps para que se mantenga sincronizado con Google SecOps.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"last_persisted_time": 1611143659000,
"username_count": 0,
"description": "Web\n",
"rules": [
{
"id": 100555,
"type": "CRE_RULE"
}
],
"event_count": 0,
"flow_count": 4,
"assigned_to": "admin",
"security_category_count": 1,
"follow_up": true,
"source_address_ids": [
50
],
"source_count": 1,
"inactive": true,
"protected": true,
"closing_user": null,
"destination_networks": [
"other"
],
"source_network": "other",
"category_count": 1,
"close_time": null,
"remote_destination_count": 1,
"start_time": 1610451749000,
"magnitude": 0,
"last_updated_time": 1610451887000,
"credibility": 0,
"id": 93,
"categories": [
"Web"
],
"severity": 0,
"policy_category_count": 0,
"log_sources": [],
"closing_reason_id": null,
"device_count": 0,
"first_persisted_time": 1610451722000,
"offense_type": 1,
"relevance": 0,
"domain_id": 0,
"offense_source": "37.28.155.22",
"local_destination_address_ids": [],
"local_destination_count": 0,
"status": "OPEN"
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* |
Esta acción no debería fallar ni detener la ejecución de la guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
Obtener cobertura de MITRE de una regla
Descripción
Obtenga detalles de MITRE sobre las reglas de QRadar mediante la aplicación Gestor de casos prácticos.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombres de reglas | CSV | Sí | Especifica una lista de nombres de reglas separados por comas para las que la acción debe devolver detalles de MITRE. | |
| Crear estadística | Booleano | Verdadero | No | Si se habilita, la acción crea una estadística que contiene información sobre la cobertura de MITRE de las reglas. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"rulename": "Excessive Database Connections"
"id": "SYSTEM-1431",
"has_ibm_default": true,
"last_updated": 1591634177302,
"mapping": {
"Discovery": {
"confidence": "medium",
"user_override": false,
"enabled": true,
"ibm_default": true,
"id": "TA0007",
"techniques": {}
},
"Initial Access": {
"confidence": "low",
"user_override": false,
"enabled": true,
"ibm_default": true,
"id": "TA0001",
"techniques": {}
}
},
"min-mitre-version": 7
}
}]
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* |
Esta acción no debería fallar ni detener la ejecución de una guía:
Esta acción debería fallar y detener la ejecución de una guía:
|
General |
| Tabla del panel de casos | Nombre de la tabla: Cobertura de MITRE Columnas de tabla:
|
Búsqueda sencilla de AQL de QRadar
Descripción
Ejecuta una consulta AQL basada en parámetros de QRadar.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la tabla | DDL |
Flows Posibles valores:
|
Sí | Especifica la tabla que se debe consultar. |
| Campos que se van a devolver | CSV | * | No | Especifica los campos que se devolverán. Si no se proporciona nada, la acción devuelve todos los campos. También se admiten comodines. |
| Where Filter | Cadena | No | Especifica el filtro WHERE de la consulta que se debe ejecutar.
No es necesario que proporcione filtros de tiempo, límites ni ordenación. Además, no es necesario que proporcione la cadena WHERE en la carga útil. |
|
| Periodo | DDL |
Última hora Valores posibles:
|
No | Especifica el periodo de los resultados. Si se selecciona "Personalizado", también debe indicar la "Hora de inicio". |
| Hora de inicio | Cadena | No | Especifica la hora de inicio de los resultados. Este parámetro es obligatorio si se selecciona "Personalizado" en el parámetro "Periodo". Formato: ISO 8601. Ejemplo: 2021-04-23T12:38Z | |
| Hora de finalización | Cadena | No | Especifica la hora de finalización de los resultados. Formato: ISO 8601. Si no se proporciona ningún valor y se selecciona "Personalizado" en el parámetro "Periodo", este parámetro usará la hora actual. | |
| Campo de ordenación | Cadena | No | Especifica el parámetro que se debe usar para ordenar. | |
| Orden de clasificación | DDL |
Ascendente Valores posibles:
|
No | Especifica el orden de clasificación. Requiere que se proporcione el parámetro "Sort Field". |
| Número máximo de resultados que se devolverán | Entero | 50 | No | Especifica el número de resultados que se devolverán. |
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| resultados | N/A | N/A |
Resultado de JSON
{
"events": [
{
"username": "None",
"category": 4003,
"starttime": 1548682790158,
"destinationip": "1.1.1.1",
"eventcount": 13,
"qid": 20257872,
"magnitude": 3,
"destinationport": 53,
"protocolid": 17,
"sourceport": 50597,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}, {
"username": "None",
"category": 8053,
"starttime": 1548682800217,
"destinationip": "1.1.1.1",
"eventcount": 1,
"qid": 20280296,
"magnitude": 3,
"destinationport": 443,
"protocolid": 6,
"sourceport": 49230,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}
]
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* |
Esta acción no debería fallar ni detener la ejecución de una guía:
Esta acción debería fallar y detener la ejecución de una guía:
|
General |
| Tabla del panel de casos | Nombre de la tabla: Resultados |
Conectores
Configurar conectores de QRadar en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
QRadar Correlation Events Connector V2
Descripción
Conector recomendado. Obtiene las infracciones de QRadar y genera alertas de Google SecOps por cada regla de QRadar añadida a la lista dinámica de Google SecOps. El conector solo obtiene las infracciones de las reglas que se añaden a la lista dinámica de Google SecOps. El conector requiere la versión 10.1 de la API de QRadar como mínimo. El conector crea alertas de Google SecOps basadas en el nombre de la regla de la infracción de QRadar, no en el nombre de la infracción.
Requisitos previos de los conectores
Índices de QRadar para los campos obligatorios. El conector QRadar New Correlation Events Connector V2 usa campos adicionales para los eventos asociados con los siguientes delitos: logsource_id, creEventList y Custom Rule Partially Matched. Esos campos deberían estar indexados de forma predeterminada en QRadar, pero es necesario asegurarse de que estos índices estén habilitados. Para comprobar si están habilitados, en la interfaz de usuario web de QRadar, vaya a Administrar > Gestión de índices. En la ventana que se abrirá, encontrarás los siguientes índices. Asegúrate de que estén habilitados:
- Regla personalizada
- Origen del registro
- Regla personalizada parcialmente coincidente
Para obtener más información, consulta Gestión de índices.
Recomendaciones de Max Days Backwards: el valor del parámetro del conector Max Days Backwards debe usarse con precaución. Los delitos de QRadar pueden tener muchos eventos y, si se intenta obtenerlos mediante el conector, se puede producir una carga excesiva en el servidor de QRadar o se pueden agotar los tiempos de espera de las solicitudes. Por este motivo, se recomienda asignar al parámetro Max Days Backwards valores lo suficientemente pequeños para asegurarse de que el conector pueda consultar QRadar para obtener eventos del periodo configurado.
Notas de uso de los conectores
Cuando uses el conector, ten en cuenta lo siguiente:
QRadar Correlation Events Connector v2 registra todos los eventos insertados por cada delito. Para ello, calcula una suma hash de los eventos usando todos los datos de eventos (todos los campos de eventos devueltos por la API de QRadar) y la usa como identificador único del evento de la infracción. Por lo tanto, los eventos que tienen todos los campos idénticos no se ingieren para la infracción. El primer evento se ingiere y se añade a la infracción relacionada. Sin embargo, los siguientes se descartan por ser duplicados. Esto se debe a la arquitectura de QRadar, ya que los eventos de QRadar no tienen identificadores únicos.
QRadar Correlation Events Connector v2 crea alertas basadas en las reglas de listas dinámicas que están presentes en la infracción, no en las infracciones en sí. Por lo tanto, si un evento de la infracción se marca con varias reglas de lista dinámica, se añade a varias alertas de Google SecOps de las reglas de lista dinámica relacionadas.
IBM QRadar usa reglas para monitorizar los eventos y los flujos de tu red con el fin de detectar amenazas de seguridad. Cuando los eventos y los flujos cumplen los criterios de prueba, que se definen en las reglas, se crea una infracción para mostrar que se sospecha que se ha producido un ataque de seguridad o una infracción de las políticas.
El nuevo conector ingiere las infracciones en Google SecOps basándose únicamente en las reglas coincidentes. Estas reglas las definen los usuarios y deben añadirse a la lista dinámica para que Google SecOps solo ingiera las infracciones que sean relevantes para el usuario. Por lo tanto, una vez que se crea una nueva infracción, el conector comprueba las reglas que la han activado (el filtrado de reglas se introdujo en la versión 9 o posterior de la API de QRadar). Si las reglas forman parte de la lista dinámica, el conector prepara la infracción para la ingestión.
Caso práctico de conector
Investigar una infracción
IBM QRadar usa reglas para monitorizar los eventos y los flujos de tu red con el fin de detectar amenazas de seguridad. Cuando los eventos y los flujos cumplen los criterios de prueba definidos en las reglas, se crea una infracción para mostrar que se sospecha que se ha producido un ataque de seguridad o una infracción de las políticas. Sin embargo, saber que se ha cometido una infracción es solo el primer paso. Para identificar cómo, dónde y quién lo hizo, es necesario investigar.
La ventana Resumen de la infracción te ayuda a iniciar la investigación de la infracción proporcionándote contexto para que entiendas lo que ha ocurrido y determines cómo aislar y resolver el problema.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción | |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | N/A | Describe el nombre del campo en el que se almacena el nombre del producto. | |
| Nombre del campo de evento | Cadena | N/A | Describe el nombre del campo en el que se almacena el nombre del evento. | |
| Nombre del campo de entorno | Cadena | domain_name | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, el entorno es "". | |
| Patrón de regex de entorno | Cadena | .* | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". | |
| Raíz de la API | Cadena | https://IP_ADDRESS:port |
Dirección del servidor QRadar. | |
| Token de API | Cadena | N/A | Token de autenticación de la API. | |
| Versión de la API | Cadena | 10.1 | Versión de la API de QRadar que se va a usar. El conector admite la versión de la API a partir de la 10.1. | |
| Filtro de dominio | Cadena (CSV) | N/A | Especifique los dominios de QRadar desde los que se deben ingerir las infracciones. Si no se proporcionan valores, el conector ingerirá las infracciones de todos los dominios. El parámetro acepta varios valores como una cadena separada por comas. | |
| Límite de eventos por alerta de Siemplify | Entero | 25 | Número máximo de eventos que se deben obtener por alerta de Google SecOps por ciclo. Se puede aumentar para que el conector se ejecute más rápido si, durante el periodo de relleno de la infracción especificado, se devuelven constantemente grandes cantidades de eventos. | |
| Tamaño de página de eventos del conector | Entero | 100 | Tamaño de la página que usará el conector para procesar eventos en lotes. | |
| Número máximo de infracciones por ciclo | Entero | 10 | Número máximo de infracciones que se pueden procesar por ejecución de conector.
Para conseguir un rendimiento óptimo, no definas un valor inferior a 10. |
|
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 300 | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. | |
| Máximo de días hacia atrás | Entero | 5 | Número máximo de días para obtener datos de infracciones hacia atrás. | |
| Periodo de relleno de infracciones | Entero | 60 | Intervalo de tiempo en minutos para obtener las infracciones. | |
| Periodo de relleno de eventos | Entero | 1 | Periodo en días para obtener los datos de eventos. | |
| Campos personalizados | Cadena | N/A | Campos personalizados que configura el usuario en QRadar. Los valores están separados por comas. Ejemplo: Campo A, Campo B | |
| ¿Qué valor se debe usar en el campo Nombre de la alerta de Siemplify? | Cadena | custom_rule | Especifica el formato que se debe seguir para generar nombres para las alertas creadas por el conector.
Los valores posibles son: custom_rule u offense_description. |
|
| ¿Qué valor se debe usar en el campo Generador de reglas de la alerta de Siemplify? | Cadena | custom_rule | Especifica el formato que se debe seguir para rellenar el campo rule_generator de las alertas creadas por el conector.
Los valores posibles son: custom_rule u offense_description. |
|
| ¿Crear casos de "No se pueden obtener eventos de la infracción"? | Casilla | Marcada | Si se marca esta opción, el conector creará casos de advertencia "No se pueden obtener eventos de la infracción" si no puede obtener eventos de las infracciones actualizadas durante el periodo de relleno de las infracciones. | |
| Direcciones de servidores proxy | Cadena | N/A | Dirección del servidor proxy. | |
| Nombre de usuario del proxy | Cadena | N/A | Nombre de usuario del proxy. | |
| Contraseña del proxy | Contraseña | N/A | Contraseña del proxy. | |
| Límite de eventos por regla de delito de QRadar | Entero | 100 | Especifica un límite para el número de eventos que se deben ingerir por cada regla de la ofensa de QRadar. Una vez que se alcanza este límite, no se ingieren eventos nuevos en la ofensa de la regla de QRadar relacionada. Ejemplo: 100 | |
| Límite de eventos por consulta en una ejecución de conector | Entero | N/A | Especifica un límite para el número de eventos que debe consultar un único conector de ofensas de QRadar en una ejecución del conector. Ejemplo: 100.
Tenga en cuenta que el valor especificado en el parámetro no puede ser inferior al valor especificado en el parámetro Límite de eventos por regla de delito de QRadar. Además, debido a la forma en que el conector obtiene los eventos, los eventos más antiguos y que están fuera del límite no se obtienen para Google SecOps. El conector obtiene los eventos más recientes hasta que se alcanza el límite especificado en el parámetro Límite de eventos por regla de delito de QRadar. |
|
| Usar la lista de permitidos como lista de bloqueo | Casilla | Desmarcada | Si se habilita, la lista dinámica se usa como lista de bloqueo. | |
| Inhabilitar Desbordamiento | Casilla | Desmarcada | Si está habilitada, el mecanismo de desbordamiento del conector no se comprueba en las alertas creadas, las alertas de "desbordamiento" no se crean y el conector intenta obtener todas las infracciones devueltas por QRadar. | |
| Temporizador de resincronización de reglas de ofensas de Qradar | Entero | 10 | No | Especifica en minutos la frecuencia con la que el conector debe volver a sincronizar la lista de reglas de ataque de QRadar. Si el parámetro no se define o se define como 0, el conector vuelve a sincronizarse en cada ejecución. |
Reglas de conectores
Lista de bloqueo y lista dinámica
El conector está ingiriendo infracciones en Google SecOps en función de las reglas coincidentes. Estas reglas las definen los usuarios y se añaden a una lista dinámica para asegurarse de que Google SecOps solo ingiera las infracciones que sean de interés o importantes para el usuario.
| RuleType (lista dinámica o lista de bloqueo) | RuleName (cadena) |
|---|---|
| Lista dinámica | Local: se ha detectado SSH o Telnet en un puerto no estándar |
| Lista dinámica | Múltiples errores de inicio de sesión desde la misma fuente |
Compatibilidad con proxies
El conector admite proxies.
Comunicaciones cifradas
El conector admite comunicaciones cifradas (SSL/TLS).
Compatibilidad con Unicode
El conector admite la codificación Unicode para las alertas procesadas.
Conector de QRadar Offenses
Descripción
El conector de infracciones de QRadar se usa para obtener infracciones y crear alertas de Google SecOps basadas en las propias infracciones de QRadar, a diferencia de cómo lo hacen los conectores de otras integraciones, que se basan en los nombres de las reglas de QRadar. El conector tiene un límite en cuanto al número total de eventos que obtendrá por cada delito de QRadar. Una vez alcanzado ese límite, no se ingerirán nuevos eventos. El conector usa la lista dinámica de Google SecOps, pero, de forma predeterminada, si no se ha definido ninguna regla de lista dinámica, obtendrá todas las infracciones devueltas por la API de QRadar. El conector requiere la versión 10.1 o una posterior de la API de QRadar.
El conector se puede considerar una versión más fácil de configurar y usar que se puede utilizar si no es necesario monitorizar e ingerir todos los eventos de infracción de QRadar e ingerirlos en Google SecOps (como hacen los conectores de correlación de integración).
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | N/A | Sí | Describe el nombre del campo en el que se almacena el nombre del producto. |
| Nombre del campo de evento | Cadena | N/A | Sí | Describe el nombre del campo en el que se almacena el nombre del evento. |
| Nombre del campo de entorno | Cadena | domain_name | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, el entorno es "". |
| Patrón de regex de entorno | Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". |
| Raíz de la API | Cadena | https://IP_ADDRESS:port |
Sí | La dirección del servidor de la API. |
| Token de API | Cadena | N/A | Sí | Token de autenticación de la API. |
| Versión de la API | Cadena | 10.1 | Sí | Versión de la API de QRadar que se va a usar. El conector admite la versión de la API a partir de la 10.1. |
| Límite total de eventos por infracción | Entero | 100 | Sí | Especifica cuántos eventos por delito de QRadar debe ingerir el conector en total. Una vez alcanzado ese límite, no se ingerirán nuevos eventos del delito. |
| Límite de eventos por regla de delito de QRadar | Entero | N/A | No | Especifica un límite opcional de cuántos eventos se deben ingerir por cada regla en QRadar Offense. No se ingerirán nuevos eventos en la ofensa de la regla de QRadar relacionada una vez que se alcance este límite. El límite no puede ser superior al límite total de eventos por infracción. |
| Tamaño de página de eventos del conector | Entero | 100 | Sí | Tamaño de la página que usará el conector para procesar eventos en lotes. |
| Número máximo de infracciones por ciclo | Entero | 10 | Sí | Número máximo de infracciones que se pueden procesar por ejecución de conector.
Para conseguir un rendimiento óptimo, no definas un valor inferior a 10. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 300 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Máximo de días hacia atrás | Entero | 5 | No | Número máximo de días para obtener datos de infracciones hacia atrás. |
| Periodo de relleno de infracciones | Entero | 60 | Sí | Intervalo de tiempo en minutos para obtener las infracciones. |
| Periodo de relleno de eventos | Entero | 1 | Sí | Periodo en días para obtener los datos de eventos. |
| Campos personalizados | Cadena | N/A | No | Campos personalizados configurados por el usuario en QRadar, separados por comas (por ejemplo, Campo A, Campo B. |
| Filtro de dominio | Cadena | N/A | No | Especifique los dominios de QRadar desde los que se deben ingerir las infracciones. Si no se proporcionan valores, el conector ingerirá las infracciones de todos los dominios. El parámetro acepta varios valores como una cadena separada por comas. |
| Filtro de magnitud | Entero | N/A | No | Especifique una magnitud de la infracción que se va a ingerir. Las infracciones con una magnitud igual o superior a la proporcionada se ingerirán en Google SecOps. |
| ¿Qué valor se debe usar en el campo Nombre de la alerta de Siemplify? | Cadena | custom_alert_name | No | Especifica el formato que se debe seguir para generar nombres para las alertas creadas por el conector.
Los valores posibles son: custom_alert_name u offense_description. |
| Usar la lista de permitidos como lista de bloqueo | Casilla | Desmarcada | No | Si se habilita, la lista dinámica se usará como lista de bloqueo. Si la casilla no está marcada y no se ha definido ninguna regla de lista dinámica, el conector obtendrá todas las infracciones devueltas por la API de QRadar. |
| Inhabilitar Desbordamiento | Casilla | Desmarcada | No | Si está habilitado, el mecanismo de desbordamiento del conector no se comprobará en las alertas creadas. No se crearán alertas de desbordamiento y el conector intentará obtener todas las infracciones devueltas por QRadar. |
| Direcciones de servidores proxy | Cadena | No | Dirección del servidor proxy. | |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy. |
| Contraseña del proxy | Contraseña | N/A | No | Contraseña del proxy. |
| Temporizador de resincronización de reglas de ofensas de Qradar | Entero | 10 | No | Especifica en minutos la frecuencia con la que el conector debe volver a sincronizar la lista de reglas de ataque de QRadar. Si el parámetro no se define o se define como 0, el conector vuelve a sincronizarse en cada ejecución. |
Reglas de conectores
Compatibilidad con proxy
El conector admite proxies.
Conector de infracciones de referencia de QRadar
El conector obtiene las infracciones y crea alertas de Google SecOps en función de los nombres de las infracciones de QRadar.
El conector crea una sola alerta de Google SecOps por cada delito de QRadar y no crea alertas adicionales de Google SecOps cuando aparecen nuevos eventos de QRadar.
El conector usa la lista dinámica de Google SecOps. De forma predeterminada, si no se definen reglas de listas dinámicas, el conector obtiene todas las infracciones devueltas por la API de QRadar.
Parámetros del conector
| Parámetros | |
|---|---|
| Nombre del campo de producto | Obligatorio
Nombre del campo en el que se almacena el nombre del producto. |
| Nombre del campo de evento | Obligatorio
Nombre del campo en el que se almacena el nombre del evento. |
| Nombre del campo de entorno | Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, el entorno se define como |
| Patrón de regex de entorno | Optional
Un patrón de expresión regular que se aplica al valor encontrado en el campo El valor predeterminado es |
| Raíz de la API | Obligatorio
La dirección del servidor de la API. |
| Token de API | Obligatorio
Token de autenticación de la API. |
| Versión de la API | Obligatorio
La versión de la API de QRadar. El conector es compatible con las versiones 10.1 y posteriores de la API. |
| Límite total de eventos por infracción | Obligatorio
Especifica cuántos eventos por delito de QRadar debe ingerir el conector en total. Una vez alcanzado el límite establecido, no se ingerirán eventos nuevos para la infracción. El valor predeterminado es 100. |
| Límite de eventos por regla de delito de QRadar | Optional
Especifica un límite opcional para la cantidad de eventos que se deben ingerir por regla en una infracción de QRadar. No se ingieren eventos nuevos en la ofensa de la regla de QRadar relacionada una vez que se alcanza el límite establecido por este parámetro. |
| Tamaño de página de eventos del conector | Obligatorio
Tamaño de la página que usa el conector para procesar eventos en lotes. El valor predeterminado es 100. |
| Número máximo de infracciones por ciclo | Obligatorio Número máximo de infracciones que se pueden procesar por ejecución de conector. Para conseguir un rendimiento óptimo, no definas un valor inferior a 10. El valor predeterminado es 10. |
| Tiempo de espera de secuencia de comandos (segundos) | Obligatorio
El límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es de 300 segundos. |
| Máximo de días hacia atrás | Optional
Número máximo de días a partir del cual se obtendrán los datos de las infracciones. El valor predeterminado es 5 días. |
| Periodo de relleno de infracciones | Obligatorio
Intervalo de tiempo en minutos para obtener las infracciones. El valor predeterminado es 60 minutos. |
| Periodo de relleno de eventos | Obligatorio
Periodo en días para obtener los datos de eventos. El valor predeterminado es un día. |
| Campos personalizados | Optional
Campos personalizados separados por comas configurados por el usuario en QRadar, como |
| Filtro de dominio | Optional
Especifica los dominios de QRadar desde los que se deben ingerir las infracciones. Si no se proporciona ningún valor, el conector ingiere las infracciones de todos los dominios. El parámetro acepta varios valores como una cadena separada por comas. |
| Filtro de magnitud | Optional
Especifica la magnitud de la infracción que se va a ingerir. Las infracciones con una magnitud igual o superior a la proporcionada se incorporarán a Google SecOps. |
| ¿Qué valor se debe usar en el campo Nombre de la alerta de Siemplify? | Optional
Especifica el formato que se debe seguir para generar nombres para las alertas creadas por el conector. El valor predeterminado es Posibles valores:
|
| Usar una lista dinámica como lista de bloqueo | Optional
Si se marca, la lista dinámica se usa como lista de bloqueo. Si la casilla no está marcada y no se ha definido ninguna regla de lista dinámica, el conector obtiene todas las infracciones devueltas por la API de QRadar. Está desmarcada de forma predeterminada. |
| Inhabilitar Desbordamiento | Optional
Si está habilitado, el mecanismo de desbordamiento del conector no se comprobará en las alertas creadas, por lo que no se crearán alertas de desbordamiento y el conector obtendrá todas las infracciones devueltas por QRadar. Está desmarcada de forma predeterminada. |
| Direcciones de servidores proxy | Optional
La dirección del servidor proxy. |
| Nombre de usuario del proxy | Optional
Nombre de usuario del proxy. |
| Contraseña del proxy | Optional
La contraseña del proxy. |
| Temporizador de resincronización de reglas de ofensas de Qradar | Optional
Especifica el intervalo en minutos para que el conector vuelva a sincronizar la lista de reglas de ofensas de QRadar. Si el parámetro no se define o se define como 0, el conector vuelve a sincronizarse en cada ejecución. El valor predeterminado es de 10 minutos. |
| Crear alertas de SOAR para ofensas con 0 eventos | Optional
Si se marca esta opción, en el caso de las infracciones obtenidas sin eventos, el conector crea una alerta de Google SecOps con los datos de infracción de QRadar tanto para la alerta como para el evento. Está desmarcada de forma predeterminada. |
| Temporizador de creación de infracciones (minutos) | Optional
Especifica el tiempo que espera el conector antes de obtener los datos de eventos de una ofensa de QRadar recién creada. |
Reglas de conectores
El conector admite proxy.
Eventos del conector
A continuación, se muestra un ejemplo de evento:
{
"events": [
{
"CREName": null,
"CREDescription": null,
"EventName": "WinCollect Info",
"EventDescription": "WinCollect Info",
"rulename_creEventList": [
"Destination Asset Weight is Low",
"Source Asset Weight is Low",
"Events from Windows Host - Second Rule",
"Context is Local to Local"
],
"partialmatchlist": [],
"qid": 63500003,
"category": 8052,
"sourceHostname": null,
"destinationHostname": null,
"creEventList": [
100205,
100211,
100409,
100199
],
"credibility": 5,
"destinationMAC": "01:23:45:ab:cd:ef",
"destinationIP": "192.0.2.1",
"destinationPort": 0,
"destinationv6": "2001:db8:1:1:1:1:1:1",
"deviceTime": 1583158321000,
"deviceProduct": "WinCollect",
"domainID": 0,
"duration": 10000,
"endTime": 1583165521106,
"eventCount": 1,
"eventDirection": "L2L",
"processorId": 8,
"hasIdentity": false,
"hasOffense": true,
"highLevelCategory": 8000,
"isCREEvent": false,
"magnitude": 6,
"utf8_payload": "<13>Mar 02 16:12:01 DESKTOP IBM|WinCollect|src=DESKTOP\tos=Windows 10 (Build 18363 64-bit)\tdst=\tsev=3\tlog=Code.SSLConfigServerConnection\tmsg=ApplicationHeartbeat",
"postNatDestinationIP": "198.51.100.255",
"postNatDestinationPort": 0,
"postNatSourceIP": "198.51.100.1",
"postNatSourcePort": 0,
"preNatDestinationIP": "198.0.2.255",
"preNatDestinationPort": 0,
"preNatSourceIP": "192.0.2.255",
"preNatSourcePort": 0,
"protocolName": "Reserved",
"protocolID": 255,
"relevance": 9,
"severity": 3,
"sourceIP": "192.0.2.1",
"sourceMAC": "ab:cd:ef:01:23:45",
"sourcePort": 0,
"sourcev6": "2001:db8:2:2:2:2:2:2",
"startTime": 1583165521106,
"isunparsed": false,
"userName": null
}
]
}
Empleo
SyncCloseOffenses
Descripción
Cierra las ofensas relacionadas de QRadar para las alertas cerradas de Google SecOps.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https://IP_ADDRESS |
Sí | Ruta de la URL que apunta al servidor de QRadar. |
| Token de API | Contraseña | N/A | Sí | Token de seguridad de la API para la autenticación. |
| Versión de la API | Cadena | N/A | No | La versión de la API utilizada. |
| Días hacia atrás | Entero | N/A | No | Número de días hacia atrás para obtener las infracciones. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.