IBM Resilient的Code42
概述
本文解释了如何安装和使用Code42 for Resilient。IBM有弹性是一个安全betway365编排、自动化和响应(SOAR)解决方案,用于自动化任务、协调工作流和支持事件响应。Code42 for Resilient添加了特定于Code42的函数、规则和工作流,以扩展IBM Resilient环境的功能。本文提供了安装、卸载和升级的说明,以及常见的用例。
有关特定于code42的函数、规则和工作流的详细信息,请参见IBM弹性自定义设置的Code42.
需求
- 要使用Code42 for Resilient,您必须具备:
- 现有的IBM弹性环境版本32.0.4502或更高版本。有关如何安装和配置IBM Resilient环境的说明,请参见IBM弹性文档.
- Python 2.7或更高版本。
- 用于运行IBM Resilient的系统必须通过HTTPS访问Code42云。不支持对Code42云的不安全HTTP访问。
- Code42 for Resilient中的一些函数需要一个Code42产品方案包括文件元数据收集。联系你的客户成功经理(CSM)协助办理执照。
在开始之前
- 准备一个用户帐户在Code42环境中为Resilient配置Code42。此用户帐户用于验证和访问Code42环境中的数据。
- 权限: Code42 for Resilient返回基于角色分配对于这个用户。为了确保用户的权限不是太宽松,请创建具有最低权限级别的用户。在我们的管理与Code42集成的安全应用程序的用例betway365.在分配角色之后,您应该进行测试,以确认用户可以访问正确的数据。
- 许可:作为最佳实践,在Code42环境中创建一个用户,专门用于为Resilient配置Code42。没有Code42应用程序存档的用户将不会使用许可证。
- 复习第1-4节IBM弹性事件响应平台功能开发人员指南.
下载和安装
步骤1:下载Code42 for Resilient
- 登录到IBM弹性应用程序交换选择“Code42”。
- 单击下载按钮下载code42-for-resilient——<版本> . zip文件到您的计算机。
- 将zip文件从计算机复制到运行弹性电路的系统。
步骤2:安装Code42函数
- 提取code42-for-resilient——<版本> . zip文件。
安装Code42 Python SDK:
PIP安装py42-<版本>.tar.gz
安装Code42 for Resilient:
PIP安装code42_for_resilient-<版本>.tar.gz
步骤3:配置弹性电路
创建或更新弹性电路配置文件。
例如:resilient-circuits配置
- u
在Code42所需的配置文件中输入配置值:
[Code42 for Resilient] # Code42授权的HTTP协议、主机和端口url= #使用Code42 web API进行身份验证的用户名Username = #使用Code42 web API进行身份验证的密码#使用弹性包中的res-keyring实用程序进行安全保护。password= #控制是否验证服务器证书。设置为true(默认值)、false或要使用的CA包的路径。verify_ssl_certs =
将verify_ssl_certs设置为true,并使用Resilient包中的res-keyring实用程序。的第6章弹性集成服务器指南获取更多信息。
- 将Code42自定义函数应用到Resilient平台:
resilient-circuits定制
- 测试配置
resilient-circuits自我测试
- 运行弹性电路:
resilient-circuits运行
如果您看到一个错误,说明用户未被授权从Code42读取数据,请尝试重新启动Resilient服务器。
在您的IBM Resilient环境中,自定义Code42规则、工作流和函数出现在自定义设置中.
步骤4:添加Code42 File Events数据表
查看的结果Code42:搜索文件事件函数,添加文件事件数据表转移到新的或现有事件选项卡。下面的示例显示了一个标记为“Code42”的新选项卡。
用例
调查即将离职的员工
场景
对于离开组织的员工,可以添加用户帐户事件的工件,以查找文件暴露事件,提供用户在辞职前的几天和几周内如何移动文件的可见性。结果显示在Code42 File Events数据表中,您可以从中下载文件并研究其内容。
步骤
- 制造一个事件。
- 添加具有该类型的工件用户帐户.
- 单击工件的Actions菜单并选择Code42:搜索文件暴露事件.
- 输入一个日期当日或之后.并点击执行.
- 选择笔记选项卡查看与查询匹配的文件公开事件的数量,以及添加到数据表中的结果的数量。
数据表中最多出现100个结果。如果总数超过100,则使用法典42法证搜索查看所有结果。 - 选择包含Code42 File Events数据表的选项卡以查看结果。
- (可选)单击所列文件事件之一的操作菜单并选择Code42:从备份下载文件.
下载的文件附在事件后面。它出现在屏幕左侧的附件下,并出现在附件选项卡。
查找已知的恶意文件
场景
如果您关心用户设备上存在的恶意文件(例如,特定的已知恶意软件),请使用malware MD5 Hash构件搜索该恶意文件可能存在于您的环境中的位置。搜索结果显示在Code42 File Events数据表中,您可以从中下载文件并研究其内容。
步骤
- 制造一个事件。
- 添加具有该类型的工件恶意软件MD5哈希.
- 单击工件的Actions菜单并选择Code42:通过MD5搜索文件事件.
- 选择笔记选项卡查看与查询匹配的文件公开事件的数量,以及添加到数据表中的结果的数量。
数据表中最多出现100个结果。如果总数超过100,则使用法典42法证搜索查看所有结果。 - 选择包含Code42 File Events数据表的选项卡以查看结果。
- (可选)单击所列文件事件之一的操作菜单并选择Code42:从备份下载文件.
下载的文件附在事件后面。它出现在屏幕左侧的附件下,并出现在附件选项卡。
卸载
卸载Code42 for Resilient:
- 卸载Code42 Python SDK函数:
PIP卸载py42
PIP卸载code42-for-resilient
- 在Resilient用户界面的functions屏幕中手动删除Code42函数。
这可能需要删除使用这些函数的规则和工作流。
已知的问题
在Code42:从备份下载文件如果文件名包含Unicode字符,则IBM Resilient中的已知问题可能会阻止下载的文件附加到该事件。