LevelBlue USM Anywhere in Google SecOps einbinden

In diesem Dokument wird beschrieben, wie Sie LevelBlue Unified Security Management (USM) Anywhere in Google Security Operations (Google SecOps) einbinden.

Integrationsversion: 31.0

Netzwerkzugriff auf LevelBlue USM Anywhere

API-Zugriff von Google SecOps auf LevelBlue USM Anywhere: Lassen Sie Traffic über Port 443 (HTTPS) zu.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Parametername Typ Standardwert Ist obligatorisch Beschreibung
Instanzname String Nein Name der Instanz, für die Sie die Integration konfigurieren möchten.
Beschreibung String Nein Beschreibung der Instanz.
API-Stamm String Ja Adresse der LevelBlue USM Anywhere-Instanz.
ClientID String Ja Die ID des Nutzers.
Secret Passwort Ja Das Passwort des Nutzerkontos.
Produktversion String V2 Ja Version des LevelBlue USM Anywhere-Produkts.
Use SSL (SSL verwenden) Kästchen Aktiviert Nein Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum LevelBlue USM Anywhere-Server validiert.
Remote ausführen Kästchen Deaktiviert Nein Klicken Sie das Kästchen an, um die konfigurierte Integration per Fernzugriff auszuführen. Nach der Auswahl wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.

Weckerdetails abrufen

Ruft Details zu einem Wecker anhand der ID ab.

Parameter

Parametername Typ Standardwert Ist obligatorisch Beschreibung
Wecker-ID String Ja Die Alarm-ID. Kann durch Ausführen des Connectors abgerufen werden.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success True oder False is_success:False
Fall-Repository
Ergebnistyp Beschreibung Typ
Ausgabemeldung*

Bei Fehler: „Failed to get details about AlienVault Anywhere alarm! Fehler: {}. Aktion sollte fehlschlagen.“

Aktionsdurchlauf erfolgreich : „Successfully returned AlienVault Anywhere alarm {} details“ (Details zum AlienVault Anywhere-Alarm {} wurden zurückgegeben)

Wenn der Parameter „Produktversion“ auf „V1“ festgelegt ist : „Die Aktion sollte mit einer klaren Meldung fehlschlagen, die in V2 unterstützt wird.“

 Allgemein
CSV-Tabelle

Spalten:

  • ID
  • Priorität
  • Zeit des Auftretens
  • Eingangszeit
  • Quelle
  • Quellorganisation
  • Quellland
  • Ziel
  • Regel-Angriffs-ID
  • Regelstrategie
  • Regel-ID
  • Regel für Angriffstaktik
  • Regel für Angriffstechnik
  • Regelabsicht
 Allgemein

Ereignisse auflisten

Nach AlienVault-Ereignissen suchen

Parameter

Parametername Typ Standardwert Ist obligatorisch Beschreibung
Weckerlimit String Nein Maximale Anzahl der zurückzugebenden Alarme.
Kontoname String Nein Der Kontoname.
Ereignisname String Nein Der Name des Ereignisses.
Beginn String Nein

Gefilterte Ergebnisse enthalten Ereignisse, die nach diesem Zeitstempel aufgetreten sind.

Format: „%d/%m/%Y“
Ende String Nein

Gefilterte Ergebnisse enthalten Ereignisse, die vor diesem Zeitstempel aufgetreten sind.

Format: „%d/%m/%Y“
Unterdrückt Kästchen Nein Gibt an, ob Ereignisse nach dem Flag „Unterdrückt“ gefiltert werden sollen.
Name der Quelle String Nein Der Name der Quelle.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_success True oder False is_success:False
JSON-Ergebnis
{
    "rep_device_fqdn": "192.0.2.30",
    "sorce_name": "192.0.2.30",
    "tag": "pdate-esp-kernelmodle.sh",
    "timestamp_occred": "1596541223000",
    "destination_address": "198.51.100.130",
    "rep_dev_canonical": "192.0.2.30",
    "destination_name": "198.51.100.130",
    "received_from": "Centos7-001",
    "timestamp_occred_iso8601": "2020-08-04T11:40:23.000Z",
    "id": "f52dd545-ff14-5576-3b70-47f10f528f53",
    "needs_enrichment": True,
    "rep_device_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received": "1596541223152",
    "sorce_canonical": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "destination_fqdn": "198.51.100.130",
    "_links": {
        "self": {
            "href": "URL"
        }
    },
    "has_alarm": False,
    "rep_device_address": "192.0.2.30",
    "event_name": "pdate-esp-kernelmodle.sh event",
    "sed_hint": False,
    "transient": False,
    "packet_type": "log",
    "was_fzzied": True,
    "sppressed": False,
    "log": "<13>Ag  4 14:40:23 Centos7-001 pdate-esp-kernelmodle.sh: McAfeeESPFileAccess installed in this system is - 198.51.100.130",
    "sorce_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received_iso8601": "2020-08-04T11:40:23.152Z",
    "destination_canonical": "198.51.100.130",
    "time_offset": "Z"
}
Fall-Repository
Ergebnistyp Beschreibung Typ
Ausgabemeldung*

Bei einem allgemeinen Fehler: „Action didn't complete due to error: {error}“ (Aktion wurde aufgrund eines Fehlers nicht abgeschlossen), Ergebniswert sollte auf „false“ gesetzt werden und die Aktion sollte fehlschlagen.

Wenn die Aktion erfolgreich abgeschlossen wurde: „Successfully returned {len(events)} AlienVault Anywhere events“ (Es wurden {len(events)} AlienVault Anywhere-Ereignisse zurückgegeben.)

Wenn die Aktion nicht ausgeführt werden konnte: „Failed to list Endgame AlienVault Anywhere events!“ (Endgame AlienVault Anywhere-Ereignisse konnten nicht aufgelistet werden.)

Wenn der Parameter „Produktversion“ auf „V1“ festgelegt ist: „Die Aktion sollte mit einer klaren Meldung fehlschlagen, die in V2 unterstützt wird.“

 Allgemein
CSV-Tabelle

Tabellentitel:Ereignisse

Tabellenspalten:

  • ID
  • Name
  • Zeit des Auftretens
  • Eingangszeit
  • Unterdrückt
  • Schweregrad
  • Kategorie
  • Unterkategorie
  • Ergebnis der Zugriffssteuerung
  • Ziel
  • Zielport
  • Quelle
  • Quellport

Werte:

  1. id= uuid
  2. name = event_name
  3. Occurred Time=timestamp_occurred_iso8601
  4. Received Time=timestamp_received_iso8601
  5. Unterdrückt =suppressed
  6. Schweregrad = event_severity
  7. Kategorie = event_category
  8. Unterkategorie = event_subcategory
  9. Access Control Outcome = access_control_outcome
  10. Ziel = destination_name
  11. Zielport = destination_port
  12. Quelle = source_name
  13. Quellport= source_port
 Allgemein

Ping

Verbindung testen

Parameter

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
Erfolgreich True oder False success:False

Connectors

Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).

AlienVault USM Anywhere Connector

Google SecOps ruft Alarme von LevelBlue USM Anywhere nahezu in Echtzeit ab und leitet sie als Benachrichtigungen für Anfragen weiter.

Connector-Parameter

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Parametername Typ Standardwert Ist obligatorisch Beschreibung
Umgebung DDL Ja

Wählen Sie die gewünschte Umgebung aus. Beispiel: „Kunde 1“.

Wenn das Feld Umgebung der Benachrichtigung leer ist, wird sie in diese Umgebung eingefügt.
Ausführung alle Ganzzahl 0:0:0:10 Nein Wählen Sie die Uhrzeit aus, zu der die Verbindung hergestellt werden soll.
Produktfeldname String device_product Ja Der Feldname, der zur Bestimmung des Geräteprodukts verwendet wird.
Name des Ereignisfelds String event_name Ja

Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt.
Max. Tage rückwärts Ganzzahl 1 Ja Die Anzahl der Tage vor der ersten Connector-Iteration, für die Warnungen abgerufen werden sollen.

Dieser Parameter kann für die erste Connector-Iteration nach der erstmaligen Aktivierung des Connectors oder als Fallback-Wert für einen abgelaufenen Connector-Zeitstempel gelten.
Maximale Anzahl an Benachrichtigungen pro Zyklus Ganzzahl 10 Ja

Die maximale Anzahl von Benachrichtigungen, die in jedem Connector-Zyklus abgerufen werden sollen.

Begrenzt die Anzahl der Benachrichtigungen in jedem Zyklus.
SSL überprüfen Kästchen Deaktiviert Nein Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum LevelBlue USM Anywhere-Server validiert.
Produktversion String V2 Ja AlienVault Anywhere-Version – V1, V2.
Secret Passwort Ja Das Passwort des entsprechenden Nutzers.
ClientID String Ja ID des Nutzers.
API-Stamm String Ja Beispiel: https://<instance>.alienvault.com
Zeitlimit für Script (Sekunden) String 60 Ja

Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird.
Proxy-Nutzername String Nein Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort Passwort Nein Das Proxy-Passwort für die Authentifizierung.
Proxyserveradresse String Nein Die Adresse des zu verwendenden Proxyservers.
Regelmethode String Nein Alarme nach Regelmethode filtern Die Methode würde zusätzliche Details zum Ziel des Angriffs und zur jeweiligen Sicherheitslücke liefern. Beispiel: Firefox – CVE-2008-4064
Regelstrategie String Nein Die Strategie der Regel, die den Alarm ausgelöst hat. Verwenden Sie beispielsweise „Client-Side Attack – Known Vulnerability“, wenn Sie versuchen, eine bekannte Sicherheitslücke in einem Webbrowser auszunutzen.
Regelabsicht String Nein Alarme nach dem Zweck des Alarms filtern. Der Intent beschreibt den Kontext des beobachteten Verhaltens. Dies sind die Bedrohungskategorien: System Compromise, Exploitation & Installation, Delivery & Attack, Reconnaissance & Probing, Environmental Awareness.
Priorität String Nein Nach Alarmpriorität filtern, durch Komma getrennt. Gültiger Wert: high/medium/low
Unterdrückten Filter verwenden Kästchen Deaktiviert Nein Mit diesem Parameter wird festgelegt, ob eingehende Benachrichtigungen mit dem Filter „Unterdrückte anzeigen“ gefiltert werden sollen.
Unterdrückte anzeigen Kästchen Aktiviert Nein Gibt an, ob unterdrückte Benachrichtigungen in die Suche einbezogen werden sollen.
Padding-Zeitraum Ganzzahl 0 Nein Pufferzeit in Stunden für die Ausführung des Connectors.

Der AlienVault USM Anywhere Connector hat zwei Parameter, die eine intelligente Filterung der in Google SecOps aufgenommenen Benachrichtigungen in Bezug auf das Attribut suppressed ermöglichen, das diese Benachrichtigungen haben:

  • Unterdrückten Filter verwenden: Mit diesem Parameter wird festgelegt, ob die eingehenden Benachrichtigungen mit dem Filter Show Suppressed gefiltert werden sollen.

  • Show Suppressed (Unterdrückte anzeigen): Mit diesem Parameter wird festgelegt, ob unterdrückte Benachrichtigungen in die Suche einbezogen werden sollen. Dieser Connector bietet drei Optionen:

    1. Alle AV-Benachrichtigungen einblenden, unterdrückte und nicht unterdrückte – beide Kästchen deaktivieren.
    2. Nur die nicht unterdrückten Benachrichtigungen von AV abrufen – das Kästchen Use Suppressed Filter muss aktiviert und das Kästchen Show Suppressed deaktiviert sein.
    3. Nur die unterdrückten Alarme von AV, aber nichts anderes übertragen – wählen Sie sowohl das Kästchen Use Suppressed Filter als auch das Kästchen Show Suppressed aus. Es ist eine Standardoption.

Weitere Informationen zur Alarmunterdrückung in AlienVault finden Sie unter Creating Suppression Rules from the Alarms Page.

Connector-Regeln

Der Connector unterstützt Proxy.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten