为Cortex XSOAR安装和管理Code42应用程序
概述
本文描述如何将Code42与Cortex XSOAR(以前是Demisto).Cortex XSOAR是一个安全编betway365排、自动化和响应(SOAR)解决方案。使用Code42内容包Cortrex XSOAR,您可以在Cortex XSOAR中查看和搜索Code42数据,管理监视列表中的员工,并在Cortex XSOAR中完成其他任务。
用例
根据您的用例,免费的Code42内容包可能满足你的需要。的Code42内部威胁补救付费内容包提供额外的预设触发器,以帮助简化某些内部威胁事件响应流程。
Code42
使用免费Code42内容包中包含的命令:
- 从Code42摄取警报
- 通过监视列表查看和管理员工
- 搜索文件事件和元数据
- 从Code42下载文件
- 管理Code42用户
- 创建用户
- 屏蔽或解除屏蔽用户
- 停用或重新激活用户
- 管理Code42的合法持有管理人
有关详细信息,请参见Cortex XSOAR中的Code42集成文档.
Code42内部威胁补救
使用Code42内部威胁补救付费内容包,根据Cortex XSOAR内的预设触发器来扩展、标准化和自动化某些内部威胁事件响应流程:
- 搜索活动,并自动发送给数据所有者进行审查
- 从票务系统自动生成离职员工
- 自动将文件从曝光-活动附加到票务系统
- 当活动被报告为可疑时,对员工采取行动,例如,阻止用户或将其添加到合法持有
使用此付费内容包需要Code42免费内容包。
注意事项
- 要在Cortex XSOAR上使用Code42应用程序,你必须启用端点监控在Code42控制台。(不适用于Incydr Professional、Enterprise、Horizon和Gov F2。)
在开始之前
在Code42控制台中,创建一个API客户端,为Cortex XSOAR的Code42应用程序提供权限:
- 用户角色的用户内部风险管理角色,创建API客户端仅由Code42应用程序用于皮质XSOAR。
- 权限:设置必要的API的权限在API客户端:
- 警报(读/写)
- 检测列表(读/写)
- 设备(阅读)
- 文件事件(读)
- 用户(读/写)
后使用API客户端ID和secret授予帐户访问权限在下一节中,测试以确认必要的数据可以在Cortex XSOAR的Code42应用程序中访问。
为Cortex XSOAR配置Code42应用程序
- 登录到您的Cortex XSOAR环境。
- 选择设置.
- 选择集成>实例.
- 搜索Code42。
- 从Code42行单击添加实例创建并配置一个新的集成实例。
- 在Code42窗口中:
- 为您的实例输入一个名称。
- 选择获取事件.
- 在Code42的控制台URL环境进入Code42环境的URL没有https://,例如,console.us.code42.com.
- 在API客户端ID输入中创建的API客户端ID在开始之前以上。
- 在API客户端秘密输入API客户端的秘密。
- (可选)选择取回时提醒取回的严重程度事件来限制你想摄取的Code42警报。
- 进入首次获取时间范围以确定从多远的过去检索警报。
- 输入提醒每次运行获取.
- 选择在返回的事件中包括文件列表以包括与警报关联的文件事件。
- 点击测试验证连接。
- 点击完成.