Demisto-Integrationshandbuch

Demisto bietet eine Plattform für Sicherheitsoperationen und Incident Response, die sowohl technische als auch nicht-technische Aspekte von Sicherheitsvorfällen verwaltet. Die Plattform kombiniert:

• Automatisierung das Datenanreicherung, automatische Triage und automatisierte Reaktionen durch die Integration mit Bedrohungsinformationen, SIEMs, Firewalls, EDRs, Sandboxen, forensischen Tools, Messaging-Systemen und mehr bietet
• A Virtueller Kriegsraum wo die Beteiligten bei Vorfällen und Untersuchungen zusammenarbeiten
• Automatische Dokumentation aller Vorfälle und Untersuchungen
• Spielbücher Sicherstellen, dass Prozesse eingehalten werden und auch in Krisenzeiten keine wichtigen Schritte versäumt werden
• Stark suchen Funktionen zur automatischen Erkennung von Duplikaten und verwandten Untersuchungen
• Beweis Erfassung und manipulationssichere Speicherung

Durch die Integration mit PagerDuty können Bereitschaftsteammitglieder sowohl manuell als auch automatisch zu Ermittlungen gerufen werden. Ermittler können überprüfen, wer derzeit Bereitschaft hat und wer zu anderen Zeiten Bereitschaft hätte. Ermittler können außerdem den Status aktueller Anrufe anzeigen und Ereignisse/Vorfälle erstellen.

Diese Integration erfordert einen API-Zugriffsschlüssel, der nur von einem Administrator oder dem Kontoinhaber erstellt werden kann.

In PagerDuty

1. Von der Leistungen wählen Sie im Menü Serviceverzeichnis.
2. Wenn Sie einen neuen Dienst für Ihre Integration erstellen auf +Neuer Service . Wenn Sie Ihre Integration zu einem vorhandenen Dienst hinzufügen Klicken Sie auf den Namen des Dienstes, zu dem Sie die Integration hinzufügen möchten. Klicken Sie dann auf das Integrationen und klicken Sie auf Eine neue Integration hinzufügen .
3. Wählen Sie Ihre Integration aus dem Integrationstyp und geben Sie eine Integrationsname . Wenn Sie einen neuen Dienst für Ihre Integration erstellen, geben Sie in den Allgemeinen Einstellungen einen Name für Ihren neuen Dienst. Geben Sie dann in den Vorfalleinstellungen die Eskalationsrichtlinie , Dringlichkeit der Benachrichtigung , Und Vorfallverhalten für Ihren neuen Service.
4. Klicken Sie auf das Dienst hinzufügen oder Integration hinzufügen , um Ihre neue Integration zu speichern. Sie werden auf die Integrationsseite für Ihren Dienst weitergeleitet.
5. Kopieren und speichern Sie die Integrationsschlüssel für Ihre neue Integration.
6. Von der Integrationen wählen Sie im Menü API-Zugriffsschlüssel .
7. Klicken Sie auf Ihrer API-Zugriffsseite auf das +Neuen API-Schlüssel erstellen Taste.
8. Im angezeigten Dialog werden Sie aufgefordert, einen Beschreibung für Ihren Schlüssel. Sie haben auch die Möglichkeit, den Schlüssel als Schreibgeschützt ; Wenn Sie dieses Kontrollkästchen nicht aktivieren, wird ein vollständiger Zugriffsschlüssel erstellt.
9. Nachdem Sie Ihre Optionen eingegeben haben, klicken Sie auf Schlüssel erstellen .
10. Sobald Sie auf „Schlüssel erstellen“ klicken, wird ein Dialogfeld angezeigt, in dem Ihr Schlüssel angezeigt wird und die Optionen bestätigt werden, die Sie im vorherigen Schritt eingegeben haben. Denken Sie daran, diesen Schlüssel in alle Anwendungen zu kopieren, die ihn jetzt benötigen, da Sie nach diesem Schritt keinen Zugriff mehr auf den Schlüssel haben. Wenn Sie einen zuvor erstellten Schlüssel verlieren und erneut darauf zugreifen müssen, sollten Sie den Schlüssel entfernen und einen neuen erstellen. Klicken Sie auf Schließen sobald Sie Ihren Schlüssel erfolgreich kopiert haben.
11. Nach der Erstellung wird Ihr Schlüssel in der Schlüsselliste auf der API-Zugriffsseite angezeigt.

In Demisto

1. Gehe zu Einstellungen und klicken Sie auf Instanz hinzufügen neben PagerDuty .
2. Als nächstes müssen Sie die Authentifizierungsdetails eingeben und auf klicken Erledigt wenn Sie fertig sind:
   • Name: Ein Name, der in Demisto zur Identifizierung von PagerDuty verwendet wird.
   • API-Schlüssel: Fügen Sie den PagerDuty REST API-Zugriffsschlüssel ein, den Sie zuvor erstellt haben.
   • Subdomäne: Ihre Subdomäne in Pagerduty (https:// Subdomäne >. Pagerdienst .com)
   • Serviceschlüssel: Fügen Sie den zuvor erstellten PagerDuty Integrationsschlüssel ein.
   • Motor: Für den Fall, dass der Demisto-Server keine direkte Verbindung zum Internet herstellen kann, sollte eine Demisto-Engine verwendet werden, die mit dem Internet verbunden ist.
3. Wenn Sie fertig sind, können Sie zum Spielplatz oder in einen Untersuchungsraum gehen. Dort stehen Ihnen die folgenden Befehle zur Verfügung:
   • !PagerDutyAssignOnCallUser – weist den ersten Bereitschaftsbenutzer einer Untersuchung zu (alle Vorfälle in der Untersuchung werden dem Bereitschaftsbenutzer zugewiesen). Dies wird mithilfe eines Skripts ausgeführt. Sie können den Bereitschaftsbenutzer ändern, indem Sie das Skript (im Automatisierungsbildschirm) bearbeiten oder ein Skriptargument mit dem Namen „query“ angeben, zum Beispiel:
     • !PagerDutyAssignOnCallUser query=mike wird den diensthabenden Benutzer Mike der Untersuchung zuweisen
   • !PagerDutyGetAllSchedules – alle Zeitpläne von PagerDuty abrufen
   • !PagerDutyGetUsersOnCall – gibt die Namen und Details der Bereitschaftsbenutzer zu einer bestimmten Zeit oder nach einem bestimmten Zeitplan zurück
   • !PagerDutyGetUsersOnCallNow – gibt die Namen und Details des aktuell diensthabenden Personals zurück
   • !PagerDutyIncidents – zeigt Vorfälle in PagerDuty an (kann alle anzeigen, nach Status, nach Zeit usw. Die CLI-Autovervollständigung von Demisto zeigt alle verfügbaren Optionen an)
   • !pagerDutySubmitEvent – ​​erstellt ein neues Ereignis/einen neuen Vorfall in PagerDuty
4. Beachten Sie, dass Sie wie bei jedem im War Room verfügbaren !-Befehl Skripte erstellen können, die die Befehle ausführen, und die Skripte mit Playbooks verknüpfen können.

Sie haben die Integration nun abgeschlossen! Bei Fragen zu dieser Anleitung wenden Sie sich bitte an Kontaktieren Sie unser Support-Team .

Häufig gestellte Fragen

Kann ich Demisto Enterprise mehrere PagerDuty -Dienste hinzufügen?

Ja, Sie können Demisto Enterprise mehrere PagerDuty -Dienste hinzufügen. Dies erreichen Sie, indem Sie der PagerDuty Integration in der Demisto Enterprise-Oberfläche neue Server hinzufügen. Jeder Server kann ein neuer Dienst sein.

Kann ich anpassen, wie der diensthabende Benutzer anhand der Zeitpläne in PagerDuty ausgewählt wird?

Sie können die Skripte in Demisto anpassen und festlegen, wie der diensthabende Benutzer bestimmt wird. Die Standardskripte sind in JavaScript geschrieben. Sie können die Skripte bearbeiten oder mit den oben in Python definierten Befehlen völlig neue Skripte erstellen.