Esta página se ha traducido con Cloud Translation API.

RSA Archer

Versión de integración: 11.0

Configurar la integración de RSA Archer en Google Security Operations

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio
Raíz de la API	Cadena	http://x.x.x.x/rsaarcher	Sí
Nombre de la instancia	Cadena	N/A	Sí
Nombre de usuario	Cadena	N/A	Sí
Contraseña	Contraseña	N/A	Sí
Verificar SSL	Casilla	Marcada	Sí

Acciones

Crear incidente

Descripción

Crea un incidente. En el cuadro de diálogo Crear un incidente, los analistas pueden crear un incidente a partir de los eventos seleccionados en la vista de eventos. El incidente estará disponible para los equipos de respuesta ante incidentes que trabajen en la sección de respuesta.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la aplicación	Cadena	Incidentes	No	Especifica el nombre de la aplicación del incidente. Valor predeterminado: Incidencias.
Archivo de asignación personalizado	Cadena	N/A	No	Especifica una ruta absoluta al archivo que contiene toda la asignación necesaria. Si la opción "Archivo remoto" está habilitada, proporcione una URL que contenga el archivo de asignación. Para obtener más información, consulta la documentación de las acciones.
Campos personalizados	Cadena	N/A	No	Especifica un objeto JSON de los campos que se deben usar al crear un incidente . Ejemplo: {"Category": "Malware"}
Archivo remoto	Casilla	N/A		Si está habilitada, la acción tratará el valor proporcionado en "Archivo de asignación personalizado" como una URL e intentará obtener un archivo de ella.

Casos prácticos

N/A

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
content_id	N/A	N/A

Estructura del archivo de asignación

Para trabajar con un archivo de asignación, debe usar el formato adecuado. Actualmente, la asignación te permite definir entradas de campos de referencias cruzadas.

La estructura del archivo es la siguiente:

    {
    "type_9": {
        "{Cross-reference field name}": {
            "{Cross-reference field value}": "{content id of the cross-reference field value}",
            "{Cross-reference field value 2}": "{content id of the cross-reference field value 2}"
        }
    }
}

Por ejemplo. Tienes una solicitud de incidente que quieres vincular a una solicitud de instalación concreta. En ese caso, el archivo de asignación tendrá este aspecto:

{
    "type_9": {
        "Facility": {
            "Business Department": "20202021",
            "Developers": "20011101"
        }
    }
}

  ```

You need to use a mapping file, when actions are not able to automatically
retrieve content id. In all of the other cases, this step is not needed.

#####  JSON Result

```json
{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om=1<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Panel de casos

Tipo de resultado	Valor/Descripción	Tipo
Mensaje de salida*	Mensajes de error: Si la clave no es válida, "No se ha podido crear un nuevo incidente. Motivo: no se ha encontrado el campo {0}."format(invalid key) If application not found - "Action wasn't able to create a new incident. Motivo: no se ha encontrado la aplicación {0}."format(application) Si el valor del tipo 4 y 9 no es válido, "Action no ha podido crear un nuevo incidente. Motivo: El campo {0} contiene un valor no válido.".format(key) Si no se encuentra el usuario del tipo 8, "No se ha podido crear un nuevo incidente. Motivo: no se ha encontrado el nombre de usuario {0}."f.ormat(user name)	General

Tipo de resultado

Valor/Descripción

Tipo

Mensaje de salida*

Mensajes de error:

Si la clave no es válida, "No se ha podido crear un nuevo incidente. Motivo: no se ha encontrado el campo {0}."format(invalid key)

If application not found - "Action wasn't able to create a new incident. Motivo: no se ha encontrado la aplicación {0}."format(application)

Si el valor del tipo 4 y 9 no es válido, "Action no ha podido crear un nuevo incidente. Motivo: El campo {0} contiene un valor no válido.".format(key)

Si no se encuentra el usuario del tipo 8, "No se ha podido crear un nuevo incidente. Motivo: no se ha encontrado el nombre de usuario {0}."f.ormat(user name)

General

Ping

Descripción

Prueba de conectividad.

Parámetros

N/A

Casos prácticos

N/A

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
correcto	Verdadero/Falso	success:False

Actualizar incidente

Descripción

Actualiza un incidente.

Parámetros

Parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la aplicación	Cadena	Incidentes	No	Especifica el nombre de la aplicación del incidente. Valor predeterminado: Incidencias.
Archivo de asignación personalizado	Cadena	N/A	No	Especifica una ruta absoluta al archivo que contiene toda la asignación necesaria. Si la opción "Archivo remoto" está habilitada, proporcione una URL que contenga el archivo de asignación. Para obtener más información, consulta la documentación de las acciones.
ID de contenido	Cadena	N/A		Content ID del incidente que se va a actualizar.
Resumen del incidente	Cadena	N/A		El nuevo resumen del incidente.
Detalles del incidente	Cadena	N/A		Los nuevos detalles (descripción) del incidente.
Propietario del incidente	Cadena	N/A		El nuevo propietario del incidente.
Estado del incidente	Cadena	N/A		El nuevo estado del incidente.
Prioridad	Cadena	N/A		La nueva prioridad del incidente.
Categoría	Cadena	N/A		La nueva categoría del incidente.
Campos personalizados	Cadena	N/A	No	Especifica un objeto JSON de los campos que se deben actualizar. Ejemplo: {"Category": "Malware"}.
Archivo remoto	Casilla	N/A		Si está habilitada, la acción tratará el valor proporcionado en "Archivo de asignación personalizado" como una URL e intentará obtener un archivo de ella.

Casos prácticos

N/A

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
content_id	N/A	N/A

Estructura del archivo de asignación

Para trabajar con un archivo de asignación, debe usar el formato adecuado. Actualmente, la asignación te permite definir entradas de campos de referencias cruzadas.

La estructura del archivo es la siguiente:

    {
    "type_9": {
        "{Cross-reference field name}": {
            "{Cross-reference field value}": "{content id of the cross-reference field value}",
            "{Cross-reference field value 2}": "{content id of the cross-reference field value 2}"
        }
    }
}

Por ejemplo. Tienes una solicitud de incidente que quieres vincular a una solicitud de instalación concreta. En ese caso, el archivo de asignación tendrá este aspecto:

{
    "type_9": {
        "Facility": {
            "Business Department": "20202021",
            "Developers": "20011101"
        }
    }
}

Debe usar un archivo de asignación cuando las acciones no puedan recuperar automáticamente el ID de contenido. En el resto de los casos, no es necesario seguir este paso.

Resultado de JSON

{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om=1<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Panel de casos

Tipo de resultado	Valor/Descripción	Tipo
Mensaje de salida*	Mensajes de error: Si la clave no es válida, "No se ha podido actualizar el incidente. Motivo: no se ha encontrado el campo {0}."format(invalid key) Si no se encuentra la aplicación, "No se ha podido actualizar el incidente. Motivo: no se ha encontrado la aplicación {0}."format(application) Si el valor no es válido para los tipos 4 y 9: "No se ha podido actualizar la incidencia. Motivo: El campo {0} contiene un valor no válido.".format(key) Si no se encuentra el usuario del tipo 8: "No se ha podido actualizar el incidente. Motivo: no se ha encontrado el nombre de usuario {0}."f.ormat(user name)	General

Tipo de resultado

Valor/Descripción

Tipo

Mensaje de salida*

Mensajes de error:

Si la clave no es válida, "No se ha podido actualizar el incidente. Motivo: no se ha encontrado el campo {0}."format(invalid key)

Si no se encuentra la aplicación, "No se ha podido actualizar el incidente. Motivo: no se ha encontrado la aplicación {0}."format(application)

Si el valor no es válido para los tipos 4 y 9: "No se ha podido actualizar la incidencia. Motivo: El campo {0} contiene un valor no válido.".format(key)

Si no se encuentra el usuario del tipo 8: "No se ha podido actualizar el incidente. Motivo: no se ha encontrado el nombre de usuario {0}."f.ormat(user name)

General

Obtener detalles del incidente

Descripción

Recupera información sobre el incidente de RSA Archer.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la aplicación	Cadena	Incidentes	No	Especifica el nombre de la aplicación del incidente. Valor predeterminado: Incidencias.
ID de contenido	Entero	N/A	Sí	Especifica el ID del contenido del que quieres obtener los detalles.

Casos prácticos

N/A

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Resultado de JSON

{
    "@odata.context": "http://172.30.202.238/RSAarcher/contentapi/Incidents(249459)/$metadata#Incidents/$entity",
    "Incidents_Id": 249459,
    "Additional_Access": [],
    "Additional_Notification_Recipients": [],
    "Address": "<p>Fifth street </p>",
    "Affected_Business_Unit": [],
    "Batch_File_Format": [],
    "Business_Continuity_Plans": [],
    "Business_Impact_Analysis_Archive": [],
    "Category": [
        "Harassment"
    ],
    "Cause": null,
    "City": "Vienna",
    "Corrective_Actions": null,
    "Country": [],
    "Current_Status": [],
    "Customer_Data": [],
    "Customer_Data_Details": null,
    "Data_Encrypted": [],
    "Date_Created": "2020-05-08T12:17:37.187+02:00",
    "DateTime_Closed": null,
    "DateTime_Occurred": "2020-05-06T05:00:00+02:00",
    "DateTime_Reported": "2020-05-08T12:15:00+02:00",
    "Days_Open": 6,
    "Default_Record_Permissions": [
        "IM: Admin",
        "IM: Read Only",
        "BCM: Admin"
    ],
    "Desktop_Policy_Enabled": [],
    "Discovery_Policy_Enabled": [],
    "DLP_Policy": [],
    "DLP_Source_Product": [],
    "Emergency_Notifications": [],
    "Encryption_Details": null,
    "Escalated_Incident_Status": [],
    "Estimated_Hours": 0,
    "Facility": [],
    "Filing_Name": null,
    "From_Date__Time": null,
    "Google_Map": "&lt;a target='_new' href='http://maps.google.com/maps?f=q&ie=UTF8&om<p>Fifth street </p>, Vienna, , 5000'>Google Map",
    "Impacted_Information_Assess": [],
    "Incident_Analysis_Q1": [],
    "Incident_Analysis_Q2": [],
    "Incident_Analysis_Q3": [],
    "Incident_Analysis_Q4": [],
    "Incident_Analysis_Q5": [],
    "Incident_Analysis_Q6": [],
    "Incident_Analysis_Q7": [],
    "Incident_Analysis_Q8": [],
    "Incident_Analysis_Score": 0,
    "Incident_Analysis_Severity": [
        "Low"
    ],
    "Incident_Details": "Closed!",
    "Incident_ID": 2,
    "Incident_Manager": [],
    "Incident_Owner": [],
    "Incident_Resolution_Detail": null,
    "Incident_Result": [
        "To Be Determined"
    ],
    "Incident_Status": [
        "Closed"
    ],
    "Incident_Summary": "TEST!!!!",
    "Incident_Trend": [],
    "Individuals_Involved": [],
    "Inherited_From_Third_Party_Profile": [],
    "Inherited_Permissions_Engagement_Stakeho": [],
    "Inherited_Permissions_Supplier_Request_F": [],
    "Inherited_RP": [],
    "Investigations": [],
    "Involved_Third_Parties": [],
    "Is_BSA_Bank_Secrecy_Act_reporting_requir": [
        "No"
    ],
    "Last_Updated": "2020-05-15T12:40:18.987+02:00",
    "Law_Enforcement_Agency": null,
    "Law_Enforcement_Agent": null,
    "Law_Enforcement_Case_No": null,
    "Legal_Involvement": [],
    "Legal_Involvement_Details": null,
    "Loss": 0,
    "Loss_Description": null,
    "Loss_Events": [],
    "Network_Policy_Enabled": [],
    "Notification_Execution": [],
    "Notify_Crisis_Team": [
        " No, do not send an email notification"
    ],
    "Notify_Incident_Owner": [
        "No, do not send an email notification to the incident owner"
    ],
    "Open_TasksActivities": [],
    "Organization_Affected_By_Incident": [],
    "Override_Rejected_Submission": [
        "No"
    ],
    "Policy_Enabled": [],
    "Priority": [
        "High"
    ],
    "Range_Type": [],
    "Recovery_": 0,
    "Recovery_Description": null,
    "Region": [],
    "Related_Incidents": [],
    "Related_Incidents1": [],
    "Reported_to_Police": [],
    "Responder_Hours_Entry": [],
    "Risks": [],
    "Source": [],
    "State": [],
    "Status_Change": [
        "No"
    ],
    "Status_Prior_Value": [],
    "Top_Offending_Users": [],
    "Total_Hours": 0,
    "Workflow_Assignees": [],
    "Workflow_Stage": [],
    "Zip_Code": "5000"
}

Panel de casos

Tipo de resultado	Valor/Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de una guía: if successful(is_success = true): print "Successfully returned information about the incident with ID {0} in RSA Archer.".format(content ID) if status code 404 (is_success = false): print "Action wasn't able to return information about the incident with ID {0} in RSA Archer. Motivo: No se ha encontrado el incidente con el ID {0}.".format(content id) La acción debería fallar y detener la ejecución de una guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: imprime "Error al ejecutar la acción "Get Incident Details". Motivo: {0}''.format(error.Stacktrace)	General

Tipo de resultado

Valor/Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de una guía:

if successful(is_success = true): print "Successfully returned information about the incident with ID {0} in RSA Archer.".format(content ID)

if status code 404 (is_success = false): print "Action wasn't able to return information about the incident with ID {0} in RSA Archer. Motivo: No se ha encontrado el incidente con el ID {0}.".format(content id)

La acción debería fallar y detener la ejecución de una guía:

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: imprime "Error al ejecutar la acción "Get Incident Details". Motivo: {0}''.format(error.Stacktrace)

General

Añadir una entrada al registro de incidentes

Descripción

Añade una entrada de registro al incidente de seguridad en RSA Archer.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
ID de contenido de destino	Cadena	N/A	Verdadero	Especifica el ID de contenido del incidente de seguridad al que quieras añadir una entrada de registro.
Texto	Cadena	N/A	Verdadero	Especifica el texto de la entrada del diario.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor
is_success	is_success=False
is_success	is_success=True

Resultado de JSON

{
    "Links": [],
    "RequestedObject": {
        "Id": 267754
    },
    "IsSuccessful": true,
    "ValidationMessages": []
}

Panel de casos

Tipo de resultado	Valor/Descripción	Tipo
Mensaje de salida*	La acción no debe fallar ni detener la ejecución de un runbook: si Successful == true (is_success = true): "Successfully added new journal entry to the Security Incident {0} in RSA Archer.".format(content_id) if Successful == false(is_success = false): "No se ha podido añadir una nueva entrada de registro al incidente de seguridad {0} en RSA Archer..format(content_id) La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: "Error al ejecutar la acción "Añadir entrada de registro de incidencias". Motivo: {0}''.format(error.Stacktrace) Si el incidente no existe (código de estado 404): "Error al ejecutar la acción "Añadir entrada de registro de incidentes". Motivo: no se ha encontrado el incidente de seguridad {0}''.format(content_id).	General

Tipo de resultado

Valor/Descripción

Tipo

Mensaje de salida*

La acción no debe fallar ni detener la ejecución de un runbook:
si Successful == true (is_success = true): "Successfully added new journal entry to the Security Incident {0} in RSA Archer.".format(content_id)

if Successful == false(is_success = false): "No se ha podido añadir una nueva entrada de registro al incidente de seguridad {0} en RSA Archer..format(content_id)

La acción debería fallar y detener la ejecución de la guía:

Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: "Error al ejecutar la acción "Añadir entrada de registro de incidencias". Motivo: {0}''.format(error.Stacktrace)

Si el incidente no existe (código de estado 404): "Error al ejecutar la acción "Añadir entrada de registro de incidentes". Motivo: no se ha encontrado el incidente de seguridad {0}''.format(content_id).

General

Conector

RSA Archer - Conector de incidentes de seguridad

Descripción

Extrae incidentes de seguridad de RSA Archer.

Configurar el conector de incidentes de seguridad de RSA Archer en Google SecOps

Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.

Parámetros del conector

Utiliza los siguientes parámetros para configurar el conector:

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre del campo de producto	Cadena	Nombre del producto	Sí	Introduce el nombre del campo de origen para obtener el nombre del campo de producto.
Nombre del campo de evento	Cadena	event_type	Sí	Introduzca el nombre del campo de origen para obtener el nombre del campo de evento.
Nombre del campo de entorno	Cadena	""	No	Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado.
Patrón de regex de entorno	Cadena	.*	No	Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado.
Tiempo de espera de secuencia de comandos (segundos)	Entero	180	Sí	Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual.
Raíz de la API	Cadena	http://x.x.x.x/RSAarcher	Sí	Raíz de la API de la instancia de RSA Archer.
Nombre de la instancia	Cadena	N/A	Sí	Nombre de la instancia de RSA Archer.
Nombre de usuario	Cadena	N/A	Sí	Nombre de usuario de la cuenta de RSA Archer.
Contraseña	Contraseña	N/A	Sí	Contraseña de la cuenta de RSA Archer.
Fetch Max Hours Backwards	Entero	1	No	Número de horas desde las que se obtendrán los incidentes de seguridad.
Número máximo de incidentes de seguridad que se van a obtener	Entero	50	No	Número de incidentes de seguridad que se deben procesar por cada iteración del conector.
Procesar alertas de seguridad	Casilla	Marcada	No	Si está habilitada, se procesarán las alertas de seguridad relacionadas con el incidente de seguridad.
Procesar registro de incidentes	Casilla	Marcada	No	Si está habilitada, la acción procesará el registro de incidentes relacionado con el incidente de seguridad.
Formato de hora	Cadena	%Y-%m-%d %H:%M:%S	Sí	Especifica el formato de hora que se debe usar para buscar incidentes de seguridad.
Usar la lista blanca como lista negra	Casilla	Desmarcada	Sí	Si está habilitada, la lista de permitidos se usará como lista de denegados.
Verificar SSL	Casilla	Desmarcada	Sí	Si está habilitada, comprueba que el certificado SSL de la conexión al servidor RSA Archer sea válido.
Dirección del servidor proxy	Cadena	N/A	No	Dirección del servidor proxy que se va a usar.
Nombre de usuario del proxy	Cadena	N/A	No	Nombre de usuario del proxy para autenticarse.
Contraseña del proxy	Contraseña	N/A	No	La contraseña del proxy para autenticarte.

Reglas de conectores

Compatibilidad con proxies

El conector admite proxies.

Tarea

Sincronizar incidentes de seguridad

Descripción

Este trabajo sincronizará los incidentes de seguridad en RSA Archer y Google SecOps.

Parámetros

Nombre visible del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Raíz de la API	Cadena	http://x.x.x.x/RSAarcher	Sí	Raíz de la API de la instancia de RSA Archer.
Nombre de la instancia	Cadena	N/A	Sí	Nombre de la instancia de RSA Archer.
Nombre de usuario	Cadena	N/A	Sí	Nombre de usuario de la cuenta de RSA Archer.
Contraseña	Contraseña	N/A	Sí	Contraseña de la cuenta de RSA Archer.
Sincronizar campos	CSV	N/A	Sí	Especifica una lista separada por comas de los campos que se deben sincronizar.
Verificar SSL	Casilla	Marcada	Sí	Si está habilitada, comprueba que el certificado SSL de la conexión al servidor RSA Archer sea válido.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.