Cette page a été traduite par l'API Cloud Translation.

Intégrer LevelBlue USM Anywhere à Google SecOps

Ce document explique comment intégrer LevelBlue Unified Security Management (USM) Anywhere à Google Security Operations (Google SecOps).

Version de l'intégration : 31.0

Accès réseau à LevelBlue USM Anywhere

Accès à l'API depuis Google SecOps vers LevelBlue USM Anywhere : autorisez le trafic sur le port 443 (HTTPS).

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom de l'instance	Chaîne	N/A	Non	Nom de l'instance pour laquelle vous souhaitez configurer l'intégration.
Description	Chaîne	N/A	Non	Description de l'instance.
Racine de l'API	Chaîne	N/A	Oui	Adresse de l'instance LevelBlue USM Anywhere.
ClientID	Chaîne	N/A	Oui	ID de l'utilisateur
Secret	Mot de passe	N/A	Oui	Mot de passe du compte utilisateur.
Version du produit	Chaîne	V2	Oui	Version du produit LevelBlue USM Anywhere.
Use SSL (Connexion SSL)	Case à cocher	Cochée	Non	Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur LevelBlue USM Anywhere.
Exécuter à distance	Case à cocher	Décochée	Non	Cochez la case pour exécuter l'intégration configurée à distance. Une fois l'option sélectionnée, elle s'affiche pour permettre de sélectionner l'utilisateur distant (agent).

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.

Actions

Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.

Obtenir les détails d'une alarme

Récupère les détails d'une alarme par ID.

Paramètres

Nom du paramètre	Type	Valeur par défaut	Obligatoire	Description
ID de l'alarme	Chaîne	N/A	Oui	ID de l'alarme. Peut être obtenu en exécutant le connecteur.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai ou faux	is_success:False

Mur des cas

Type de résultat	Description	Type
Message de sortie*	En cas d'erreur : "Échec de l'obtention des détails concernant l'alarme AlienVault Anywhere ! L'erreur est {}. L'action doit échouer." Action réussie : "Détails de l'alarme AlienVault Anywhere {} renvoyés" Lorsque le paramètre "Version du produit" est défini sur V1 : "L'action doit échouer et afficher un message clair compatible avec V2."	Général
Table CSV	Colonnes : ID Priorité Heure de l'événement Heure de réception Source Organisation du code source Pays source Destination ID d'attaque de la règle Stratégie de règles ID de la règle Stratégie d'attaque basée sur des règles Technique d'attaque de la règle Intention de la règle	Général

Type de résultat

Description

Type

Message de sortie*

En cas d'erreur : "Échec de l'obtention des détails concernant l'alarme AlienVault Anywhere ! L'erreur est {}. L'action doit échouer."

Action réussie : "Détails de l'alarme AlienVault Anywhere {} renvoyés"

Lorsque le paramètre "Version du produit" est défini sur V1 : "L'action doit échouer et afficher un message clair compatible avec V2."

Général

Table CSV

Colonnes :

ID
Priorité
Heure de l'événement
Heure de réception
Source
Organisation du code source
Pays source
Destination
ID d'attaque de la règle
Stratégie de règles
ID de la règle
Stratégie d'attaque basée sur des règles
Technique d'attaque de la règle
Intention de la règle

Général

Lister les événements

Recherchez des événements AlienVault.

Paramètres

Nom du paramètre	Type	Valeur par défaut	Obligatoire	Description
Limite d'alarmes	Chaîne	N/A	Non	Nombre maximal d'alarmes à renvoyer.
Nom du compte	Chaîne	N/A	Non	Nom du compte.
Nom de l'événement	Chaîne	N/A	Non	Nom de l'événement.
Heure de début	Chaîne	N/A	Non	Les résultats filtrés incluront les événements qui se sont produits après ce code temporel. Format : "%d/%m/%Y"
Heure de fin	Chaîne	N/A	Non	Les résultats filtrés incluront les événements qui se sont produits avant cet code temporel. Format : "%d/%m/%Y"
Supprimée	Case à cocher	N/A	Non	Indique si les événements doivent être filtrés en fonction de l'indicateur "Supprimé".
Nom de la source	Chaîne	N/A	Non	Nom de la source.

Date d'exécution

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai ou faux	is_success:False

Résultat JSON

{
    "rep_device_fqdn": "192.0.2.30",
    "sorce_name": "192.0.2.30",
    "tag": "pdate-esp-kernelmodle.sh",
    "timestamp_occred": "1596541223000",
    "destination_address": "198.51.100.130",
    "rep_dev_canonical": "192.0.2.30",
    "destination_name": "198.51.100.130",
    "received_from": "Centos7-001",
    "timestamp_occred_iso8601": "2020-08-04T11:40:23.000Z",
    "id": "f52dd545-ff14-5576-3b70-47f10f528f53",
    "needs_enrichment": True,
    "rep_device_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received": "1596541223152",
    "sorce_canonical": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "destination_fqdn": "198.51.100.130",
    "_links": {
        "self": {
            "href": "URL"
        }
    },
    "has_alarm": False,
    "rep_device_address": "192.0.2.30",
    "event_name": "pdate-esp-kernelmodle.sh event",
    "sed_hint": False,
    "transient": False,
    "packet_type": "log",
    "was_fzzied": True,
    "sppressed": False,
    "log": "<13>Ag  4 14:40:23 Centos7-001 pdate-esp-kernelmodle.sh: McAfeeESPFileAccess installed in this system is - 198.51.100.130",
    "sorce_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received_iso8601": "2020-08-04T11:40:23.152Z",
    "destination_canonical": "198.51.100.130",
    "time_offset": "Z"
}

Mur des cas

Type de résultat	Description	Type
Message de sortie*	En cas d'erreur générale : "L'action n'a pas pu être effectuée en raison d'une erreur : {error}". La valeur du résultat doit être définie sur "false" et l'action doit échouer. Si l'action aboutit : "{len(events)} événements AlienVault Anywhere renvoyés" Si l'action n'a pas pu être exécutée : "Échec de la liste des événements Endgame AlienVault Anywhere !" Lorsque le paramètre "Version du produit" est défini sur V1 : "L'action doit échouer et afficher un message clair indiquant qu'elle est compatible avec V2."	Général
Table CSV	Titre du tableau : "Événements" Colonnes du tableau : ID Nom Heure de l'événement Heure de réception Supprimée Gravité Catégorie Sous-catégorie Résultat du contrôle des accès Destination Port de destination Source Port source Valeurs : id= uuid name = event_name Occurred Time=timestamp_occurred_iso8601 Received Time=timestamp_received_iso8601 Supprimée =supprimée Gravité = event_severity Catégorie = event_category Sous-catégorie = event_subcategory Résultat du contrôle des accès = access_control_outcome Destination = destination_name Port de destination = destination_port Source = source_name Source Port= source_port	Général

Type de résultat

Description

Type

Message de sortie*

En cas d'erreur générale : "L'action n'a pas pu être effectuée en raison d'une erreur : {error}". La valeur du résultat doit être définie sur "false" et l'action doit échouer.

Si l'action aboutit : "{len(events)} événements AlienVault Anywhere renvoyés"

Si l'action n'a pas pu être exécutée : "Échec de la liste des événements Endgame AlienVault Anywhere !"

Lorsque le paramètre "Version du produit" est défini sur V1 : "L'action doit échouer et afficher un message clair indiquant qu'elle est compatible avec V2."

Général

Table CSV

Titre du tableau : "Événements"

Colonnes du tableau :

ID
Nom
Heure de l'événement
Heure de réception
Supprimée
Gravité
Catégorie
Sous-catégorie
Résultat du contrôle des accès
Destination
Port de destination
Source
Port source

Valeurs :

id= uuid
name = event_name
Occurred Time=timestamp_occurred_iso8601
Received Time=timestamp_received_iso8601
Supprimée =supprimée
Gravité = event_severity
Catégorie = event_category
Sous-catégorie = event_subcategory
Résultat du contrôle des accès = access_control_outcome
Destination = destination_name
Port de destination = destination_port
Source = source_name
Source Port= source_port

Général

Ping

Testez la connectivité.

Paramètres

N/A

Date d'exécution

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
success	Vrai ou faux	success:False

Connecteurs

Pour en savoir plus sur la configuration des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).

Connecteur AlienVault USM Anywhere

Google SecOps récupère les alarmes de LevelBlue USM Anywhere en quasi-temps réel et les transmet sous forme d'alertes pour les demandes.

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom du paramètre	Type	Valeur par défaut	Obligatoire	Description
Environnement	LDD	N/A	Oui	Sélectionnez l'environnement requis. Par exemple, "Client 1". Si le champ Environnement de l'alerte est vide, elle sera injectée dans cet environnement.
Exécuter chaque	Integer	0:0:0:10	Non	Sélectionnez l'heure à laquelle exécuter la connexion.
Nom du champ de produit	Chaîne	device_product	Oui	Nom du champ utilisé pour déterminer le produit de l'appareil.
Nom du champ d'événement	Chaîne	event_name	Oui	Nom du champ qui détermine le nom (sous-type) de l'événement.
Nombre maximal de jours en arrière	Integer	1	Oui	Nombre de jours avant la première itération du connecteur pour récupérer les alertes. Ce paramètre peut s'appliquer à l'itération initiale du connecteur après l'avoir activé pour la première fois, ou à la valeur de remplacement pour un code temporel de connecteur expiré.
Nombre maximal d'alertes par cycle	Integer	10	Oui	Nombre maximal d'alertes à extraire lors de chaque cycle du connecteur. Limite le nombre d'alertes dans chaque cycle.
Vérifier le protocole SSL	Case à cocher	Décochée	Non	Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur LevelBlue USM Anywhere.
Version du produit	Chaîne	V2	Oui	Version AlienVault Anywhere : V1, V2.
Secret	Mot de passe	N/A	Oui	Mot de passe de l'utilisateur correspondant.
ClientID	Chaîne	N/A	Oui	ID de l'utilisateur.
Racine de l'API	Chaîne	N/A	Oui	Exemple : https://<instance>.alienvault.com
Délai avant expiration du script (en secondes)	Chaîne	60	Oui	Délai limite, en secondes, pour le processus Python qui exécute le script actuel.
Nom d'utilisateur du proxy	Chaîne	N/A	Non	Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy	Mot de passe	N/A	Non	Mot de passe du proxy pour l'authentification.
Adresse du serveur proxy	Chaîne	N/A	Non	Adresse du serveur proxy à utiliser.
Méthode de la règle	Chaîne	N/A	Non	Filtrez les alarmes par méthode de règle. La méthode fournit des informations supplémentaires sur la cible de l'attaque et la vulnérabilité spécifique. Exemple : Firefox - CVE-2008-4064
Stratégie de règles	Chaîne	N/A	Non	Stratégie de la règle ayant déclenché l'alarme. Par exemple, utilisez "Attaque côté client – Faille connue" lorsque vous essayez d'exploiter une faille connue dans un navigateur Web de l'attaquant.
Intention de la règle	Chaîne	N/A	Non	Filtrez les alarmes en fonction de leur objectif. L'intention décrit le contexte du comportement observé. Voici les catégories de menaces : compromission du système, exploitation et installation, distribution et attaque, reconnaissance et sondage, sensibilisation à l'environnement.
Priorité	Chaîne	N/A	Non	Filtrez par priorité d'alarme, séparée par une virgule. Valeur valide : élevé/moyen/faible
Utiliser le filtre "Supprimé"	Case à cocher	Décochée	Non	Ce paramètre permet de déterminer si les alertes entrantes doivent être filtrées à l'aide du filtre "Afficher les alertes supprimées".
Afficher les éléments supprimés	Case à cocher	Cochée	Non	Indique si les alarmes supprimées doivent être incluses dans la recherche.
Période de marge	Integer	0	Non	Période de marge en heures pour l'exécution du connecteur.

Le connecteur AlienVault USM Anywhere comporte deux paramètres qui permettent de filtrer intelligemment les alertes ingérées dans Google SecOps en fonction de l'attribut suppressed de ces alertes :

Utiliser le filtre "Supprimé" : ce paramètre détermine si les alertes entrantes doivent être filtrées à l'aide du filtre Show Suppressed ou non.
Afficher les alarmes supprimées : ce paramètre détermine si les alarmes supprimées doivent être incluses ou non dans la recherche. Ce connecteur propose trois options :
1. Cochez les deux cases pour afficher toutes les alertes AV, qu'elles soient masquées ou non.
2. N'importez que les alarmes non supprimées depuis AV : cochez la case Use Suppressed Filter et décochez la case Show Suppressed.
3. Ne récupérez que les alarmes supprimées de l'antivirus, mais rien d'autre. Pour cela, cochez les cases Use Suppressed Filter et Show Suppressed. Il s'agit d'une option par défaut.

Pour en savoir plus sur la suppression des alarmes dans AlienVault, consultez Créer des règles de suppression à partir de la page "Alarmes".

Règles du connecteur

Le connecteur est compatible avec le proxy.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.