跳到主要内容
联系支持

这篇文章是给谁看的?

Incydr专业,企业,地平线和政府F2
Incydr基础,高级,和政府F1

的Code42控制台中找到您的产品计划帐户菜单

老师,不。

Incydr Professional, Enterprise, Horizon和Gov F2,是的。

Incydr基础,高级和Gov F1,是的。

首页
开始
发布说明
常见问题
api
系统状态
Code42支持

IBM Resilient的Code42

  1. 最后一次更新
  2. 另存为PDF

概述

本文解释了如何安装和使用Code42 for Resilient。IBM有弹性是一个安全betway365编排、自动化和响应(SOAR)解决方案,用于自动化任务、协调工作流和支持事件响应。Code42 for Resilient添加了特定于Code42的函数、规则和工作流,以扩展IBM Resilient环境的功能。本文提供了安装、卸载和升级的说明,以及常见的用例。

有关特定于code42的函数、规则和工作流的详细信息,请参见IBM弹性自定义设置的Code42

需求

  • 要使用Code42 for Resilient,您必须具备:
    • 现有的IBM弹性环境版本32.0.4502或更高版本。有关如何安装和配置IBM Resilient环境的说明,请参见IBM弹性文档
    • Python 2.7或更高版本。
  • 用于运行IBM Resilient的系统必须通过HTTPS访问Code42云。不支持对Code42云的不安全HTTP访问。
  • Code42 for Resilient中的一些函数需要一个Code42产品方案包括文件元数据收集。联系你的客户成功经理(CSM)协助办理执照。
去哪里寻求帮助
客户冠军可以为Code42 for Resilient提供支持。但是,Code42不能为IBM Resilient本身提供技术支持。联系IBM支持寻求IBM Resilient的帮助。

在开始之前

下载和安装

步骤1:下载Code42 for Resilient

  1. 登录到IBM弹性应用程序交换选择“Code42”。
  2. 单击下载按钮下载code42-for-resilient——<版本> . zip文件到您的计算机。
  3. 将zip文件从计算机复制到运行弹性电路的系统。

步骤2:安装Code42函数

  1. 提取code42-for-resilient——<版本> . zip文件。

  2. 安装Code42 Python SDK:
    PIP安装py42-<版本>.tar.gz

  3. 安装Code42 for Resilient:
    PIP安装code42_for_resilient-<版本>.tar.gz

步骤3:配置弹性电路

  1. 创建或更新弹性电路配置文件。
    例如:resilient-circuits配置- u

  2. 在Code42所需的配置文件中输入配置值:

[Code42 for Resilient] # Code42授权的HTTP协议、主机和端口url= #使用Code42 web API进行身份验证的用户名Username = #使用Code42 web API进行身份验证的密码#使用弹性包中的res-keyring实用程序进行安全保护。password= #控制是否验证服务器证书。设置为true(默认值)、false或要使用的CA包的路径。verify_ssl_certs =

将verify_ssl_certs设置为true,并使用Resilient包中的res-keyring实用程序。的第6章弹性集成服务器指南获取更多信息。

  1. 将Code42自定义函数应用到Resilient平台:
    resilient-circuits定制
  2. 测试配置
    resilient-circuits自我测试
  3. 运行弹性电路:
    resilient-circuits运行
    如果您看到一个错误,说明用户未被授权从Code42读取数据,请尝试重新启动Resilient服务器。

在您的IBM Resilient环境中,自定义Code42规则、工作流和函数出现在自定义设置中

Code42规则

规则

Code42工作流

工作流

Code42功能

功能

步骤4:添加Code42 File Events数据表

查看的结果Code42:搜索文件事件函数,添加文件事件数据表转移到新的或现有事件选项卡。下面的示例显示了一个标记为“Code42”的新选项卡。

弹性布局

用例

调查即将离职的员工

场景

对于离开组织的员工,可以添加用户帐户事件的工件,以查找文件暴露事件,提供用户在辞职前的几天和几周内如何移动文件的可见性。结果显示在Code42 File Events数据表中,您可以从中下载文件并研究其内容。

步骤

  1. 制造一个事件。
  2. 添加具有该类型的工件用户帐户
  3. 单击工件的Actions菜单并选择Code42:搜索文件暴露事件
  4. 输入一个日期当日或之后.并点击执行
  5. 选择笔记选项卡查看与查询匹配的文件公开事件的数量,以及添加到数据表中的结果的数量。
    数据表中最多出现100个结果。如果总数超过100,则使用法典42法证搜索查看所有结果。
  6. 选择包含Code42 File Events数据表的选项卡以查看结果。
  7. (可选)单击所列文件事件之一的操作菜单并选择Code42:从备份下载文件
    下载的文件附在事件后面。它出现在屏幕左侧的附件下,并出现在附件选项卡。

查找已知的恶意文件

场景

如果您关心用户设备上存在的恶意文件(例如,特定的已知恶意软件),请使用malware MD5 Hash构件搜索该恶意文件可能存在于您的环境中的位置。搜索结果显示在Code42 File Events数据表中,您可以从中下载文件并研究其内容。

步骤

  1. 制造一个事件。
  2. 添加具有该类型的工件恶意软件MD5哈希
  3. 单击工件的Actions菜单并选择Code42:通过MD5搜索文件事件
  4. 选择笔记选项卡查看与查询匹配的文件公开事件的数量,以及添加到数据表中的结果的数量。
    数据表中最多出现100个结果。如果总数超过100,则使用法典42法证搜索查看所有结果。
  5. 选择包含Code42 File Events数据表的选项卡以查看结果。
  6. (可选)单击所列文件事件之一的操作菜单并选择Code42:从备份下载文件
    下载的文件附在事件后面。它出现在屏幕左侧的附件下,并出现在附件选项卡。

升级

要升级到用于Resilient的Code42的新版本,请完成相同的操作下载、安装和配置过程如上所述。检查配置文件并根据需要更新任何值。

    卸载

    卸载Code42 for Resilient:

    1. 卸载Code42 Python SDK函数:
      PIP卸载py42
      PIP卸载code42-for-resilient
    2. 在Resilient用户界面的functions屏幕中手动删除Code42函数。
      这可能需要删除使用这些函数的规则和工作流。

    已知的问题

    Code42:从备份下载文件如果文件名包含Unicode字符,则IBM Resilient中的已知问题可能会阻止下载的文件附加到该事件。