Integrar o LevelBlue USM Anywhere ao Google SecOps

Este documento descreve como integrar o LevelBlue Unified Security Management (USM) Anywhere ao Google Security Operations (Google SecOps).

Versão da integração: 31.0

Acesso à rede do LevelBlue USM Anywhere

Acesso à API do Google SecOps para o LevelBlue USM Anywhere: permita o tráfego pela porta 443 (HTTPS).

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
Nome da instância String N/A Não Nome da instância em que você pretende configurar a integração.
Descrição String N/A Não Descrição da instância.
Raiz da API String N/A Sim Endereço da instância do LevelBlue USM Anywhere.
ClientID String N/A Sim O ID do usuário.
Secret Senha N/A Sim A senha da conta de usuário.
Versão do produto String V2 Sim Versão do produto LevelBlue USM Anywhere.
Usar SSL Caixa de seleção Selecionado Não Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do LevelBlue USM Anywhere.
Executar remotamente Caixa de seleção Desmarcado Não Marque a caixa de seleção para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o usuário remoto (agente).

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.

Receber detalhes do alarme

Recupera detalhes de um alarme por ID.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
ID do alarme String N/A Sim O ID do alarme. Pode ser obtido executando o conector.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success:False
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

Em caso de erro: "Não foi possível receber detalhes sobre o alerta do AlienVault Anywhere! O erro é {}. A ação deve falhar."

Ação concluída: "Os detalhes do alerta {} do AlienVault Anywhere foram retornados"

Quando o parâmetro "Product version" (Versão do produto) é definido como V1 : "A ação precisa falhar com uma mensagem clara compatível com a V2".

 Geral
Tabela CSV

Colunas:

  • ID
  • Prioridade
  • Horário de ocorrência
  • Hora de recebimento
  • Origem
  • Organização de origem
  • País de origem
  • Destino
  • ID do ataque da regra
  • Estratégia de regra
  • Código da regra
  • Tática de ataque por regra
  • Técnica de ataque de regra
  • Intenção da regra
 Geral

Listar eventos

Pesquise eventos do AlienVault.

Parâmetros

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
Limite de alarmes String N/A Não Número máximo de alarmes a serem retornados.
Nome da conta String N/A Não O nome da conta.
Nome do evento String N/A Não O nome do evento.
Horário de início String N/A Não

Os resultados filtrados vão incluir eventos que ocorreram depois desse carimbo de data e hora.

Formato: "%d/%m/%Y"
Horário de término String N/A Não

Os resultados filtrados incluem eventos que ocorreram antes desse carimbo de data/hora.

Formato: "%d/%m/%Y"
Suprimida Caixa de seleção N/A Não Indica se os eventos devem ser filtrados pela flag de supressão.
Nome da origem String N/A Não O nome da origem.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
is_success True ou false is_success:False
Resultado JSON
{
    "rep_device_fqdn": "192.0.2.30",
    "sorce_name": "192.0.2.30",
    "tag": "pdate-esp-kernelmodle.sh",
    "timestamp_occred": "1596541223000",
    "destination_address": "198.51.100.130",
    "rep_dev_canonical": "192.0.2.30",
    "destination_name": "198.51.100.130",
    "received_from": "Centos7-001",
    "timestamp_occred_iso8601": "2020-08-04T11:40:23.000Z",
    "id": "f52dd545-ff14-5576-3b70-47f10f528f53",
    "needs_enrichment": True,
    "rep_device_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received": "1596541223152",
    "sorce_canonical": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "destination_fqdn": "198.51.100.130",
    "_links": {
        "self": {
            "href": "URL"
        }
    },
    "has_alarm": False,
    "rep_device_address": "192.0.2.30",
    "event_name": "pdate-esp-kernelmodle.sh event",
    "sed_hint": False,
    "transient": False,
    "packet_type": "log",
    "was_fzzied": True,
    "sppressed": False,
    "log": "<13>Ag  4 14:40:23 Centos7-001 pdate-esp-kernelmodle.sh: McAfeeESPFileAccess installed in this system is - 198.51.100.130",
    "sorce_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received_iso8601": "2020-08-04T11:40:23.152Z",
    "destination_canonical": "198.51.100.130",
    "time_offset": "Z"
}
Painel de casos
Tipo de resultado Descrição Tipo
Mensagem de saída*

Em caso de erro geral: "A ação não foi concluída devido a um erro: {error}". O valor do resultado precisa ser definido como "false", e a ação precisa falhar.

Se a ação for concluída com sucesso: "Retornou {len(events)} eventos do AlienVault Anywhere com sucesso"

Se a ação não foi executada: "Não foi possível listar os eventos do Endgame AlienVault Anywhere!"

Quando o parâmetro "Product version" (Versão do produto) é definido como V1: "A ação precisa falhar com uma mensagem clara compatível com a V2".

 Geral
Tabela CSV

Título da tabela:Eventos

Colunas da tabela:

  • ID
  • Nome
  • Horário de ocorrência
  • Hora de recebimento
  • Suprimida
  • Gravidade
  • Categoria
  • Subcategoria
  • Resultado do controle de acesso
  • Destino
  • Porta de destino
  • Origem
  • Porta de origem

Valores:

  1. id= uuid
  2. name = event_name
  3. Occurred Time=timestamp_occurred_iso8601
  4. Received Time=timestamp_received_iso8601
  5. Suppressed =suppressed
  6. Severity = event_severity
  7. Categoria = event_category
  8. Subcategoria = event_subcategory
  9. Resultado do controle de acesso = access_control_outcome
  10. Destination = destination_name
  11. Destination Port = destination_port
  12. Origem = source_name
  13. Source Port= source_port
 Geral

Ping

Teste a conectividade.

Parâmetros

N/A

Data de execução

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script
Nome do resultado do script Opções de valor Exemplo
sucesso True ou false success:False

Conectores

Para mais detalhes sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).

Conector do AlienVault USM Anywhere

O Google SecOps busca alarmes do LevelBlue USM Anywhere quase em tempo real e os encaminha como alertas para casos.

Parâmetros do conector

Use os seguintes parâmetros para configurar o conector:

Nome do parâmetro Tipo Valor padrão É obrigatório Descrição
Ambiente DDL N/A Sim

Selecione o ambiente necessário. Por exemplo, "Cliente Um".

Se o campo Ambiente do alerta estiver vazio, ele será injetado neste ambiente.
Executar a cada Número inteiro 0:0:0:10 Não Selecione o horário para executar a conexão.
Nome do campo do produto String device_product Sim O nome do campo usado para determinar o produto do dispositivo.
Nome do campo do evento String event_name Sim

O nome do campo que determina o nome do evento (subtipo).
Número máximo de dias para retroceder Número inteiro 1 Sim O número de dias antes da primeira iteração do conector para recuperar alertas.

Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector.
Máximo de alertas por ciclo Número inteiro 10 Sim

O número máximo de alertas a serem buscados no ciclo de cada conector.

Limita o número de alertas em cada ciclo.
Verificar SSL Caixa de seleção Desmarcado Não Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do LevelBlue USM Anywhere.
Versão do produto String V2 Sim Versão do AlienVault Anywhere: V1, V2.
Secret Senha N/A Sim A senha do usuário correspondente.
ClientID String N/A Sim ID do usuário.
Raiz da API String N/A Sim Exemplo: https://<instance>.alienvault.com
Tempo limite do script (segundos) String 60 Sim

O limite de tempo limite, em segundos, para o processo do Python que executa o script atual.
Nome de usuário do proxy String N/A Não O nome de usuário do proxy para autenticação.
Senha do proxy Senha N/A Não A senha do proxy para autenticação.
Endereço do servidor proxy String N/A Não O endereço do servidor proxy a ser usado.
Método da regra String N/A Não Filtra alarmes por método de regra. O método forneceria mais detalhes sobre o alvo do ataque e a vulnerabilidade específica. Exemplo: Firefox: CVE-2008-4064
Estratégia de regra String N/A Não A estratégia da regra que acionou o alarme. Por exemplo, use "Ataque do lado do cliente - vulnerabilidade conhecida" ao tentar explorar uma vulnerabilidade conhecida em um navegador da Web do invasor.
Intenção da regra String N/A Não Filtre os alarmes pela finalidade. A intenção descreve o contexto do comportamento que está sendo observado. Estas são as categorias de ameaças: comprometimento do sistema, exploração e instalação, entrega e ataque, reconhecimento e sondagem, conscientização ambiental.
Prioridade String N/A Não Filtre por prioridade de alarme, separada por vírgulas. Valor válido: high/medium/low
Usar filtro suprimido Caixa de seleção Desmarcado Não Esse parâmetro será usado para determinar se os alertas recebidos serão filtrados usando o filtro "Mostrar suprimidos".
Mostrar suprimidas Caixa de seleção Selecionado Não Se os alarmes suprimidos devem ser incluídos na pesquisa.
Período de padding Número inteiro 0 Não Período de padding em horas para a execução do conector.

O AlienVault USM Anywhere Connector tem dois parâmetros, permitindo a filtragem inteligente dos alertas ingeridos no Google SecOps em relação ao atributo suppressed desses alertas:

  • Usar filtro suprimido: esse parâmetro determina se os alertas recebidos serão filtrados usando o filtro Show Suppressed ou não.

  • Mostrar suprimidos: esse parâmetro determina se os alarmes suprimidos serão incluídos na pesquisa. Há três opções neste conector:

    1. Traga todos os alertas de AV, suprimidos e não suprimidos. Marque as duas caixas.
    2. Traga apenas os alarmes não suprimidos do AV. Para isso, selecione a caixa Use Suppressed Filter e desmarque a caixa Show Suppressed.
    3. Importar apenas os alarmes suprimidos do AV, mas nada mais. Selecione as caixas Use Suppressed Filter e Show Suppressed. Essa é a opção padrão.

Para mais informações sobre a supressão de alarmes no AlienVault, consulte Como criar regras de supressão na página "Alarmes".

Regras do conector

O conector é compatível com proxy.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.