Mengintegrasikan LevelBlue USM Anywhere dengan Google SecOps

Dokumen ini menjelaskan cara mengintegrasikan LevelBlue Unified Security Management (USM) Anywhere dengan Google Security Operations (Google SecOps).

Versi integrasi: 31.0

Akses jaringan ke LevelBlue USM Anywhere

Akses API dari Google SecOps ke LevelBlue USM Anywhere: Izinkan traffic melalui port 443 (HTTPS).

Parameter integrasi

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Nama Instance String T/A Tidak Nama Instance yang ingin Anda konfigurasi integrasinya.
Deskripsi String T/A Tidak Deskripsi Instance.
Root API String T/A Ya Alamat instance LevelBlue USM Anywhere.
ClientID String T/A Ya ID pengguna.
Rahasia Sandi T/A Ya Sandi akun pengguna.
Versi Produk String V2 Ya Versi produk LevelBlue USM Anywhere.
Use SSL Kotak centang Dicentang Tidak Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server LevelBlue USM Anywhere.
Menjalankan dari Jarak Jauh Kotak centang Tidak dicentang Tidak Centang kotak untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dipilih, opsi akan muncul untuk memilih pengguna jarak jauh (agen).

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Tindakan

Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.

Mendapatkan Detail Alarm

Mengambil detail alarm menurut ID.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
ID Alarm String T/A Ya ID alarm. Dapat diperoleh dengan menjalankan konektor.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success:False
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Jika terjadi error: "Gagal mendapatkan detail tentang alarm AlienVault Anywhere! Error adalah {}. Tindakan harus gagal."

Action pass successfully: "Successfully returned AlienVault Anywhere alarm {} details" (Tindakan berhasil dilakukan: "Berhasil menampilkan detail alarm {} AlienVault Anywhere")

Jika parameter Versi produk ditetapkan ke V1: "Tindakan akan gagal dengan pesan jelas yang didukung di V2."

 Umum
Tabel CSV

Kolom:

  • ID
  • Prioritas
  • Waktu Terjadi
  • Waktu Diterima
  • Sumber
  • Organisasi Sumber
  • Negara Sumber
  • Tujuan
  • ID Serangan Aturan
  • Strategi Aturan
  • ID aturan
  • Taktik Serangan Aturan
  • Teknik Serangan Aturan
  • Niat Aturan
 Umum

Mencantumkan Peristiwa

Telusuri peristiwa AlienVault.

Parameter

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Batas Alarm String T/A Tidak Jumlah maksimum alarm yang akan ditampilkan.
Nama Akun String T/A Tidak Nama akun.
Nama Peristiwa String T/A Tidak Nama acara.
Waktu Mulai String T/A Tidak

Hasil yang difilter akan mencakup peristiwa yang terjadi setelah stempel waktu ini.

Format: "%d/%m/%Y"
Waktu Berakhir String T/A Tidak

Hasil yang difilter akan mencakup peristiwa yang terjadi sebelum stempel waktu ini.

Format: "%d/%m/%Y"
Dihentikan Kotak centang T/A Tidak Apakah akan memfilter peristiwa menurut tanda ditekan.
Nama Sumber String T/A Tidak Nama sumber.

Dijalankan pada

Tindakan ini tidak dijalankan di entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
is_success Benar atau Salah is_success:False
Hasil JSON
{
    "rep_device_fqdn": "192.0.2.30",
    "sorce_name": "192.0.2.30",
    "tag": "pdate-esp-kernelmodle.sh",
    "timestamp_occred": "1596541223000",
    "destination_address": "198.51.100.130",
    "rep_dev_canonical": "192.0.2.30",
    "destination_name": "198.51.100.130",
    "received_from": "Centos7-001",
    "timestamp_occred_iso8601": "2020-08-04T11:40:23.000Z",
    "id": "f52dd545-ff14-5576-3b70-47f10f528f53",
    "needs_enrichment": True,
    "rep_device_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received": "1596541223152",
    "sorce_canonical": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "destination_fqdn": "198.51.100.130",
    "_links": {
        "self": {
            "href": "URL"
        }
    },
    "has_alarm": False,
    "rep_device_address": "192.0.2.30",
    "event_name": "pdate-esp-kernelmodle.sh event",
    "sed_hint": False,
    "transient": False,
    "packet_type": "log",
    "was_fzzied": True,
    "sppressed": False,
    "log": "<13>Ag  4 14:40:23 Centos7-001 pdate-esp-kernelmodle.sh: McAfeeESPFileAccess installed in this system is - 198.51.100.130",
    "sorce_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received_iso8601": "2020-08-04T11:40:23.152Z",
    "destination_canonical": "198.51.100.130",
    "time_offset": "Z"
}
Repositori kasus
Jenis hasil Deskripsi Jenis
Pesan output*

Jika terjadi error umum: "Tindakan tidak selesai karena error: {error}", nilai hasil harus disetel ke salah (false) dan tindakan harus gagal.

Jika tindakan berhasil diselesaikan: "Successfully returned {len(events)} AlienVault Anywhere events"

Jika tindakan gagal dijalankan: "Failed to list Endgame AlienVault Anywhere events!" (Gagal mencantumkan peristiwa Endgame AlienVault Anywhere)

Jika parameter Versi produk ditetapkan ke V1: "Tindakan akan gagal dengan pesan jelas yang didukung di V2."

 Umum
Tabel CSV

Judul Tabel: Acara

Kolom Tabel:

  • ID
  • Nama
  • Waktu Terjadi
  • Waktu Diterima
  • Dihentikan
  • Keparahan
  • Kategori
  • Sub-Kategori
  • Hasil Kontrol Akses
  • Tujuan
  • Destination Port
  • Sumber
  • Port Sumber

Nilai:

  1. id= uuid
  2. name = event_name
  3. Waktu Terjadi=timestamp_occurred_iso8601
  4. Waktu Diterima=timestamp_received_iso8601
  5. Dibatalkan =dibatalkan
  6. Tingkat keparahan = event_severity
  7. Kategori = event_category
  8. Sub-Kategori = event_subcategory
  9. Hasil Kontrol Akses = access_control_outcome
  10. Tujuan = destination_name
  11. Destination Port = destination_port
  12. Sumber = source_name
  13. Port Sumber= source_port
 Umum

Ping

Uji konektivitas.

Parameter

T/A

Dijalankan pada

Tindakan ini dijalankan di semua entity.

Hasil tindakan

Hasil skrip
Nama hasil skrip Opsi nilai Contoh
berhasil Benar atau Salah success:False

Konektor

Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).

Konektor AlienVault USM Anywhere

Google SecOps mengambil alarm dari LevelBlue USM Anywhere hampir secara real-time dan meneruskannya sebagai pemberitahuan untuk kasus.

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama parameter Jenis Nilai default Wajib diisi Deskripsi
Lingkungan DDL T/A Ya

Pilih lingkungan yang diperlukan. Misalnya, "Pelanggan Satu".

Jika kolom Lingkungan pemberitahuan kosong, pemberitahuan akan dimasukkan ke lingkungan ini.
Jalankan Setiap Bilangan bulat 0:0:0:10 Tidak Pilih waktu untuk menjalankan koneksi.
Nama Kolom Produk String device_product Ya Nama kolom yang digunakan untuk menentukan produk perangkat.
Nama Kolom Peristiwa String event_name Ya

Nama kolom yang menentukan nama peristiwa (subjenis).
Maksimum Hari Mundur Bilangan bulat 1 Ya Jumlah hari sebelum iterasi konektor pertama untuk mengambil pemberitahuan.

Parameter ini dapat berlaku untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya, atau nilai penggantian untuk stempel waktu konektor yang telah berakhir.
Jumlah Maksimum Pemberitahuan Per Siklus Bilangan bulat 10 Ya

Jumlah maksimum pemberitahuan yang akan diambil di setiap siklus konektor.

Membatasi jumlah pemberitahuan dalam setiap siklus.
Verifikasi SSL Kotak centang Tidak dicentang Tidak Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server LevelBlue USM Anywhere.
Versi Produk String V2 Ya Versi AlienVault Anywhere - V1, V2.
Rahasia Sandi T/A Ya Sandi pengguna yang sesuai.
ClientID String T/A Ya ID pengguna.
Root API String T/A Ya Contoh: https://<instance>.alienvault.com
Waktu Tunggu Skrip (Detik) String 60 Ya

Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini.
Nama Pengguna Proxy String T/A Tidak Nama pengguna proxy untuk melakukan autentikasi.
Sandi Proxy Sandi T/A Tidak Sandi proxy untuk mengautentikasi.
Alamat Server Proxy String T/A Tidak Alamat server proxy yang akan digunakan.
Metode Aturan String T/A Tidak Memfilter alarm menurut metode aturan. Metode ini akan memberikan detail tambahan tentang target serangan dan kerentanan tertentu. Contoh: Firefox - CVE-2008-4064
Strategi Aturan String T/A Tidak Strategi aturan yang memicu alarm. Misalnya, gunakan Serangan Sisi Klien - Kerentanan yang Diketahui saat mencoba mengeksploitasi kerentanan yang diketahui di browser web penyerang.
Niat Aturan String T/A Tidak Memfilter alarm berdasarkan tujuan alarm. Maksud menjelaskan konteks perilaku yang sedang diamati. Berikut adalah kategori ancaman: Pembobolan Sistem, Eksploitasi & Penginstalan, Pengiriman & Serangan, Pengintaian & Penyelidikan, Kesadaran Lingkungan.
Prioritas String T/A Tidak Filter menurut prioritas alarm, dipisahkan dengan koma. Nilai yang valid: tinggi/sedang/rendah
Menggunakan Filter yang Dihapus Kotak centang Tidak dicentang Tidak Parameter ini akan digunakan untuk menentukan apakah akan memfilter pemberitahuan yang masuk menggunakan filter Tampilkan yang Diredam atau tidak.
Tampilkan yang Dibatalkan Kotak centang Dicentang Tidak Apakah akan menyertakan alarm yang ditahan dalam penelusuran.
Periode Pengisian Bilangan bulat 0 Tidak Periode padding dalam jam untuk eksekusi konektor.

AlienVault USM Anywhere Connector memiliki dua parameter, yang memungkinkan pemfilteran cerdas atas pemberitahuan yang dimasukkan ke Google SecOps, terkait atribut suppressed yang dimiliki pemberitahuan tersebut:

  • Gunakan Filter yang Dibatalkan: Parameter ini menentukan apakah akan memfilter pemberitahuan yang masuk menggunakan filter Show Suppressed atau tidak.

  • Tampilkan yang Dibatalkan: Parameter ini menentukan apakah akan menyertakan alarm yang dibatalkan dalam penelusuran atau tidak. Ada tiga opsi di konektor ini:

    1. Masukkan semua peringatan AV, yang disembunyikan dan tidak disembunyikan - hapus kedua kotak.
    2. Hanya tampilkan alarm yang tidak diredam dari AV - pilih kotak Use Suppressed Filter dan hapus kotak Show Suppressed.
    3. Hanya bawa alarm yang diredam dari AV, tetapi tidak ada yang lain - pilih kotak Use Suppressed Filter dan Show Suppressed. Ini adalah opsi default.

Untuk mengetahui informasi selengkapnya tentang penekanan alarm di AlienVault, lihat Membuat Aturan Penekanan dari Halaman Alarm.

Aturan konektor

Konektor mendukung Proxy.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.