Adición de acciones personalizadas
Conecte scripts a reglas personalizadas para realizar acciones personalizadas en respuesta a los sucesos de red. Utilice la ventana Acción personalizada para gestionar scripts de acciones personalizadas.
Utilice acciones personalizadas para seleccionar o definir el valor que se pasa al script y la acción resultante.
Por ejemplo, puede escribir un script para crear una regla de cortafuegos que bloquea una dirección IP de origen desde la red como respuesta a una regla desencadenada por un número definido de intentos de inicio de sesión no satisfactorios.
Los ejemplos siguientes son acciones personalizadas que constituyen el resultado de pasar valores a un script:
- Bloquear usuarios y dominios.
- Iniciar flujos de trabajo y actualizaciones en sistemas externos.
- Actualizar servidores TAXI con una representación STIX de una amenaza.
Las acciones personalizadas funcionan mejor con sucesos de reglas personalizadas de bajo volumen y con reglas personalizadas que tienen un valor limitador de respuesta bajo.
- En el menú de navegación (
), pulse Admin. - En la sección Acciones personalizadas , pulse .
- Para cargar los scripts, pulse Añadir. En la lista Intérprete se proporcionan
versiones de lenguajes de programación a las que el producto da soporte.
Para la seguridad del despliegue, QRadar no da soporte al rango completo de funciones de scripts proporcionadas por los lenguajes Python, Perlo Bash.
- Especifique los parámetros que desee pasar al script que ha cargado.
Tabla 1. Parámetros de acción personalizada Parámetro Descripción Fixed property Los valores que se pasan al script de acción personalizada. Estas propiedades no se basan en los sucesos o en el flujo en sí mismos, sino que cubren otros valores definidos en los que puede utilizar el script para actuar sobre ellos. Por ejemplo, pase las propiedades fijas username y password para un sistema de terceros a un script para enviar una alerta de SMS.
Cifre propiedades fijas marcando el recuadro Valor de cifrado.
Network event property Propiedades Ariel dinámicas generadas por sucesos. Seleccione en la lista Propiedad . Por ejemplo, la propiedad de suceso de red sourceip proporciona un parámetro que coincide con la dirección IP de origen del suceso desencadenado.
Para obtener más información sobre las propiedades de Ariel, consulte la publicación IBM QRadar Ariel Query Language Guide.
Los parámetros se pasan al script por el orden en el que los haya añadido en la ventana Acciones personalizadas.
Cuando se ejecutan scripts de acción personalizados, se configura un chroot jail en el directorio /opt/qradar/bin/ca_jail/. Cualquier contenido del directorio /opt/qradar/bin/ca_jail/ se puede modificar y escribir mediante scripts. El directorio inicial del usuario de acciones personalizadas (/home/customactionuser) también se puede modificar.
Un script sólo se puede ejecutar desde dentro del entorno de la cárcel para que no interfiera con el entorno de ejecución de QRadar . Todo el acceso a archivos durante la ejecución de acciones personalizadas es relativo al directorio /opt/qradar/bin/ca_jail/.
Es posible que la cuenta de usuario de acción personalizada no tenga permiso para ejecutar mandatos de seguimiento, tales como iniciar sesión en un cortafuegos y bloquear una dirección IP. Pruebe si el script se ejecuta satisfactoriamente antes de asociarlo a una regla.
Debe ejecutar el programa de utilidad dos2unix en los scripts que se originan en un sistema Windows o DOS. Los sistemas Windows o DOS normalmente añaden caracteres de control. Para probar correctamente los scripts de acción personalizada utilizando la función Ejecución de prueba de script en QRadar, debe eliminar los caracteres de control.