Demisto bietet eine Plattform für Sicherheitsoperationen/Incident Response, die sowohl technische als auch nicht-technische Aspekte von Sicherheitsvorfällen verwaltet. Die Plattform kombiniert:
- Automatisierung das Datenanreicherung, automatische Triage und automatisierte Reaktionen durch die Integration mit Bedrohungsinformationen, SIEMs, Firewalls, EDRs, Sandboxes, forensischen Tools, Messaging-Systemen und mehr bietet
- A Virtueller Kriegsraum wo die Beteiligten bei Vorfällen und Untersuchungen zusammenarbeiten
- Automatische Dokumentation aller Vorfälle und Untersuchungen
- Spielbücher Sicherstellen, dass Prozesse eingehalten werden und auch in Krisenzeiten keine wichtigen Schritte versäumt werden
- Stark suchen Funktionen zur automatischen Erkennung von Duplikaten und verwandten Untersuchungen
- Beweis Erfassung und manipulationssichere Speicherung
Durch die Integration mit PagerDuty können Bereitschaftsteammitglieder sowohl manuell als auch automatisch zu Ermittlungen gerufen werden. Ermittler können prüfen, wer derzeit Bereitschaft hat und wer zu anderen Zeiten Bereitschaft hätte. Ermittler können auch den Status aktueller Anrufe anzeigen und Ereignisse/Vorfälle erstellen.
Diese Integration erfordert einen API-Zugriffsschlüssel, der nur von einem Administrator oder dem Kontoinhaber erstellt werden kann.
In PagerDuty
- Von dem Dienstleistungen wählen Sie Serviceverzeichnis.
- Wenn Sie einen neuen Dienst für Ihre Integration erstellen , klicken +Neuer Service . Wenn Sie Ihre Integration zu einem bestehenden Dienst hinzufügen , klicken Sie auf den Namen des Dienstes, zu dem Sie die Integration hinzufügen möchten. Klicken Sie dann auf das Integrationen und klicken Sie auf Eine neue Integration hinzufügen .
- Wählen Sie Ihre Integration aus dem Integrationstyp und geben Sie eine Integrationsname . Wenn Sie einen neuen Dienst für Ihre Integration erstellen, geben Sie in den Allgemeinen Einstellungen einen Name für Ihren neuen Dienst. Geben Sie dann in den Vorfalleinstellungen die Eskalationsrichtlinie , Dringlichkeit der Benachrichtigung , Und Vorfallverhalten für Ihren neuen Service.
- Drücke den Service hinzufügen oder Integration hinzufügen Schaltfläche, um Ihre neue Integration zu speichern. Sie werden auf die Integrationsseite für Ihren Dienst weitergeleitet.
- Kopieren und speichern Sie die Integrationsschlüssel für Ihre neue Integration.
- Von dem Integrationen wählen Sie API-Zugriffsschlüssel .
- Klicken Sie auf der Seite „API-Zugriff“ auf das +Neuen API-Schlüssel erstellen Taste.
- Im angezeigten Dialog werden Sie aufgefordert, einen Beschreibung für Ihren Schlüssel. Sie haben auch die Möglichkeit, den Schlüssel zu erstellen als Schreibgeschützt ; wenn Sie dieses Kontrollkästchen nicht aktivieren, wird ein vollständiger Zugriffsschlüssel erstellt.
- Wenn Sie Ihre Optionen eingegeben haben, klicken Sie auf Schlüssel erstellen .
- Wenn Sie auf „Schlüssel erstellen“ klicken, wird ein Dialogfeld angezeigt, in dem Ihr Schlüssel angezeigt wird und die Optionen bestätigt werden, die Sie im vorherigen Schritt eingegeben haben. Denken Sie daran, diesen Schlüssel in alle Anwendungen zu kopieren, die ihn jetzt benötigen, da Sie nach diesem Schritt keinen Zugriff mehr auf den Schlüssel haben. Wenn Sie einen zuvor erstellten Schlüssel verlieren und erneut darauf zugreifen müssen, sollten Sie den Schlüssel entfernen und einen neuen erstellen. Klicken Sie auf Schließen sobald Sie Ihren Schlüssel erfolgreich kopiert haben.
- Sobald Ihr Schlüssel erstellt wurde, wird er in der Schlüsselliste auf der API-Zugriffsseite angezeigt.
In Demisto
- Gehe zu Einstellungen und klicken Sie auf Instanz hinzufügen neben PagerDuty .
- Als nächstes müssen Sie die Authentifizierungsdetails eingeben und auf klicken Erledigt wenn Sie fertig sind:
- Name: Ein Name, der in Demisto zur Identifizierung von PagerDuty verwendet wird.
- API-Schlüssel: Fügen Sie den PagerDuty REST API-Zugriffsschlüssel ein, den Sie zuvor erstellt haben.
- Subdomäne: Ihre Subdomäne in Pagerduty (https:// Subdomäne >. pagerdienst .com)
- Service-Schlüssel: Fügen Sie den zuvor erstellten PagerDuty Integrationsschlüssel ein.
- Motor: Für den Fall, dass der Demisto-Server keine direkte Verbindung zum Internet herstellen kann, sollte eine mit dem Internet verbundene Demisto-Engine verwendet werden.
- Wenn Sie fertig sind, können Sie auf den Spielplatz oder in einen Untersuchungsraum gehen. Dort stehen Ihnen die folgenden Befehle zur Verfügung:
- !PagerDutyAssignOnCallUser – weist den ersten Bereitschaftsbenutzer einer Untersuchung zu (alle Vorfälle in der Untersuchung gehören dem Bereitschaftsbenutzer). Dies wird mithilfe eines Skripts ausgeführt. Es ist möglich, den Bereitschaftsbenutzer zu ändern, indem Sie das Skript bearbeiten (im Automatisierungsbildschirm) oder ein Skriptargument mit dem Namen „Query“ angeben, zum Beispiel:
- !PagerDutyAssignOnCallUser query=mike wird den diensthabenden Benutzer Mike der Untersuchung zuweisen
- !PagerDutyGetAllSchedules – alle Zeitpläne von PagerDuty abrufen
- !PagerDutyGetUsersOnCall – gibt die Namen und Details der diensthabenden Benutzer zu einer bestimmten Zeit oder nach einem bestimmten Zeitplan zurück.
- !PagerDutyGetUsersOnCallNow – gibt die Namen und Details des aktuell diensthabenden Personals zurück
- !PagerDutyIncidents – zeigt Vorfälle in PagerDuty an (kann alle anzeigen, nach Status, nach Zeit usw. Die CLI-Autovervollständigung von Demisto zeigt alle verfügbaren Optionen an)
- !pagerDutySubmitEvent – erstellt ein neues Ereignis/einen neuen Vorfall in PagerDuty
- Beachten Sie, dass Sie wie bei jedem im War Room verfügbaren !-Befehl Skripte erstellen können, die die Befehle ausführen, und die Skripte mit Playbooks verknüpfen können.
Sie haben die Integration nun abgeschlossen! Wenn Sie Fragen zu diesem Leitfaden haben, Kontaktieren Sie unser Support-Team .
FAQ
Kann ich Demisto Enterprise mehrere PagerDuty Dienste hinzufügen?
Ja, Sie können Demisto Enterprise mehrere PagerDuty Dienste hinzufügen. Dies erreichen Sie, indem Sie der PagerDuty Integration innerhalb der Demisto Enterprise-Schnittstelle einen neuen Server hinzufügen. Jeder Server kann ein neuer Dienst sein.
Kann ich anpassen, wie der diensthabende Benutzer anhand der Zeitpläne in PagerDuty ausgewählt wird?
Sie können die Skripte in Demisto anpassen und auswählen, wie der diensthabende Benutzer bestimmt wird. Die Standardskripte sind in JavaScript geschrieben. Sie können die Skripte bearbeiten oder mit den oben in Python definierten Befehlen völlig neue Skripte erstellen.