Integra LevelBlue USM Anywhere con Google SecOps

Questo documento descrive come integrare LevelBlue Unified Security Management (USM) Anywhere con Google Security Operations (Google SecOps).

Versione integrazione: 31.0

Accesso alla rete a LevelBlue USM Anywhere

Accesso API da Google SecOps a LevelBlue USM Anywhere: consenti il traffico sulla porta 443 (HTTPS).

Parametri di integrazione

Utilizza i seguenti parametri per configurare l'integrazione:

Nome parametro Tipo Valore predefinito È obbligatorio Descrizione
Nome istanza Stringa N/D No Nome dell'istanza per cui intendi configurare l'integrazione.
Descrizione Stringa N/D No Descrizione dell'istanza.
Radice API Stringa N/D Indirizzo dell'istanza USM Anywhere di LevelBlue.
IDCliente Stringa N/D L'ID dell'utente.
Secret Password N/D La password dell'account utente.
Versione del prodotto Stringa V2 Versione del prodotto LevelBlue USM Anywhere.
Use SSL (Usa SSL) Casella di controllo Selezionata No Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server LevelBlue USM Anywhere.
Esegui da remoto Casella di controllo Deselezionata No Seleziona la casella di controllo per eseguire l'integrazione configurata da remoto. Una volta selezionata, l'opzione consente di selezionare l'utente remoto (agente).

Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.

Azioni

Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.

Visualizzare i dettagli della sveglia

Recupera i dettagli di un allarme in base all'ID.

Parametri

Nome parametro Tipo Valore predefinito È obbligatorio Descrizione
ID allarme Stringa N/D L'ID allarme. Può essere ottenuto eseguendo il connettore.

Pubblica su

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni del valore Esempio
is_success Vero o falso is_success:False
Bacheca casi
Tipo di risultato Descrizione Tipo
Messaggio di output*

In caso di errore: "Failed to get details about AlienVault Anywhere alarm! Errore: {}. L'azione dovrebbe non riuscire."

Azione riuscita: "Successfully returned AlienVault Anywhere alarm {} details" (Restituiti correttamente i dettagli dell'allarme {} di AlienVault Anywhere)

Quando il parametro Product version è impostato su V1: "L'azione deve non riuscire con un messaggio chiaro che è supportato nella versione V2".

 Generale
Tabella CSV

Colonne:

  • ID
  • Priorità
  • Ora occorrenza
  • Ora di ricezione
  • Origine
  • Organizzazione di origine
  • Paese di origine
  • Destinazione
  • ID attacco regola
  • Strategia delle regole
  • ID regola
  • Tattica di attacco della regola
  • Tecnica di attacco della regola
  • Intenzione della regola
 Generale

Elenco eventi

Cerca eventi AlienVault.

Parametri

Nome parametro Tipo Valore predefinito È obbligatorio Descrizione
Limite sveglie Stringa N/D No Il numero massimo di sveglie da restituire.
Nome account Stringa N/D No Il nome dell'account.
Nome evento Stringa N/D No Il nome dell'evento.
Ora di inizio Stringa N/D No

I risultati filtrati includeranno gli eventi verificatisi dopo questo timestamp.

Formato: "%d/%m/%Y"
Ora di fine Stringa N/D No

I risultati filtrati includeranno gli eventi verificatisi prima di questo timestamp.

Formato: "%d/%m/%Y"
Soppressa Casella di controllo N/D No Indica se filtrare gli eventi in base al flag di eliminazione.
Nome origine Stringa N/D No Il nome dell'origine.

Pubblica su

Questa azione non viene eseguita sulle entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni del valore Esempio
is_success Vero o falso is_success:False
Risultato JSON
{
    "rep_device_fqdn": "192.0.2.30",
    "sorce_name": "192.0.2.30",
    "tag": "pdate-esp-kernelmodle.sh",
    "timestamp_occred": "1596541223000",
    "destination_address": "198.51.100.130",
    "rep_dev_canonical": "192.0.2.30",
    "destination_name": "198.51.100.130",
    "received_from": "Centos7-001",
    "timestamp_occred_iso8601": "2020-08-04T11:40:23.000Z",
    "id": "f52dd545-ff14-5576-3b70-47f10f528f53",
    "needs_enrichment": True,
    "rep_device_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received": "1596541223152",
    "sorce_canonical": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "destination_fqdn": "198.51.100.130",
    "_links": {
        "self": {
            "href": "URL"
        }
    },
    "has_alarm": False,
    "rep_device_address": "192.0.2.30",
    "event_name": "pdate-esp-kernelmodle.sh event",
    "sed_hint": False,
    "transient": False,
    "packet_type": "log",
    "was_fzzied": True,
    "sppressed": False,
    "log": "<13>Ag  4 14:40:23 Centos7-001 pdate-esp-kernelmodle.sh: McAfeeESPFileAccess installed in this system is - 198.51.100.130",
    "sorce_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received_iso8601": "2020-08-04T11:40:23.152Z",
    "destination_canonical": "198.51.100.130",
    "time_offset": "Z"
}
Bacheca casi
Tipo di risultato Descrizione Tipo
Messaggio di output*

In caso di errore generale: "L'azione non è stata completata a causa di un errore: {error}", il valore del risultato deve essere impostato su false e l'azione deve non riuscire.

Se l'azione viene completata correttamente: "Successfully returned {len(events)} AlienVault Anywhere events" (Restituiti correttamente {len(events)} eventi AlienVault Anywhere)

Se l'azione non è stata eseguita: "Failed to list Endgame AlienVault Anywhere events!" (Impossibile elencare gli eventi Endgame AlienVault Anywhere).

Quando il parametro Product version è impostato su V1: "L'azione deve non riuscire con un messaggio chiaro che è supportato in V2".

 Generale
Tabella CSV

Titolo tabella: Eventi

Colonne della tabella:

  • ID
  • Nome
  • Ora occorrenza
  • Ora di ricezione
  • Soppressa
  • Gravità
  • Categoria
  • Sottocategoria
  • Risultato del controllo dell'accesso
  • Destinazione
  • Porta di destinazione
  • Origine
  • Porta di origine

Valori:

  1. id= uuid
  2. name = event_name
  3. Occurred Time=timestamp_occurred_iso8601
  4. Received Time=timestamp_received_iso8601
  5. Suppressed =suppressed
  6. Severity = event_severity
  7. Categoria = event_category
  8. Sottocategoria = event_subcategory
  9. Access Control Outcome = access_control_outcome
  10. Destination = destination_name
  11. Porta di destinazione = destination_port
  12. Sorgente = source_name
  13. Source Port= source_port
 Generale

Dindin

Testa la connettività.

Parametri

N/D

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script
Nome del risultato dello script Opzioni del valore Esempio
operazione riuscita Vero o falso success:False

Connettori

Per maggiori dettagli su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).

Connettore AlienVault USM Anywhere

Google SecOps recupera gli allarmi da LevelBlue USM Anywhere quasi in tempo reale e li inoltra come avvisi per i casi.

Parametri del connettore

Utilizza i seguenti parametri per configurare il connettore:

Nome parametro Tipo Valore predefinito È obbligatorio Descrizione
Ambiente DDL N/D

Seleziona l'ambiente richiesto. Ad esempio, "Cliente 1".

Se il campo Ambiente dell'avviso è vuoto, l'avviso verrà inserito in questo ambiente.
Esegui ogni Numero intero 0:0:0:10 No Seleziona l'ora in cui eseguire la connessione.
Nome campo prodotto Stringa device_product Il nome del campo utilizzato per determinare il prodotto del dispositivo.
Nome campo evento Stringa event_name

Il nome del campo che determina il nome (sottotipo) dell'evento.
Max Days Backwards Numero intero 1 Il numero di giorni prima della prima iterazione del connettore per recuperare gli avvisi.

Questo parametro può essere applicato all'iterazione iniziale del connettore dopo l'attivazione del connettore per la prima volta o al valore di riserva per un timestamp del connettore scaduto.
Numero massimo di avvisi per ciclo Numero intero 10

Il numero massimo di avvisi da recuperare in ogni ciclo del connettore.

Limita il numero di avvisi in ogni ciclo.
Verifica SSL Casella di controllo Deselezionata No Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server LevelBlue USM Anywhere.
Versione del prodotto Stringa V2 Versione di AlienVault Anywhere: V1, V2.
Secret Password N/D La password dell'utente corrispondente.
IDCliente Stringa N/D ID dell'utente.
Radice API Stringa N/D Esempio: https://<instance>.alienvault.com
Timeout dello script (secondi) Stringa 60

Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente.
Nome utente proxy Stringa N/D No Il nome utente del proxy con cui eseguire l'autenticazione.
Password proxy Password N/D No La password del proxy per l'autenticazione.
Indirizzo del server proxy Stringa N/D No L'indirizzo del server proxy da utilizzare.
Metodo della regola Stringa N/D No Filtra gli avvisi in base al metodo della regola. Il metodo fornirebbe ulteriori dettagli sul bersaglio dell'attacco e sulla vulnerabilità specifica. Esempio: Firefox - CVE-2008-4064
Strategia delle regole Stringa N/D No La strategia della regola che ha attivato l'allarme. Ad esempio, utilizza Attacco lato client - Vulnerabilità nota quando tenti di sfruttare una vulnerabilità nota in un browser web dell'attaccante.
Intenzione della regola Stringa N/D No Filtra gli allarmi in base allo scopo. L'intent descrive il contesto del comportamento osservato. Queste sono le categorie di minacce: Compromissione del sistema, Sfruttamento e installazione, Distribuzione e attacco, Ricognizione e sondaggio, Consapevolezza ambientale.
Priorità Stringa N/D No Filtra per priorità allarme, separati da virgole. Valore valido: alto/medio/basso
Utilizzare il filtro Suppressed Casella di controllo Deselezionata No Questo parametro verrà utilizzato per determinare se filtrare gli avvisi in arrivo utilizzando il filtro Mostra avvisi soppressi o meno.
Mostra eliminate Casella di controllo Selezionata No Indica se includere o meno gli allarmi soppressi nella ricerca.
Periodo di padding Numero intero 0 No Periodo di padding in ore per l'esecuzione del connettore.

Il connettore AlienVault USM Anywhere ha due parametri, che consentono il filtraggio intelligente degli avvisi inseriti in Google SecOps, in merito all'attributo suppressed che questi avvisi hanno:

  • Utilizza filtro soppresso: questo parametro determina se filtrare gli avvisi in entrata utilizzando il filtro Show Suppressed o meno.

  • Mostra soppressi: questo parametro determina se includere o meno gli allarmi soppressi nella ricerca. In questo connettore sono disponibili tre opzioni:

    1. Importa tutti gli avvisi AV, soppressi e non soppressi: deseleziona entrambe le caselle.
    2. Importa solo gli allarmi non soppressi dall'antivirus: seleziona la casella Use Suppressed Filter e deseleziona la casella Show Suppressed.
    3. Importa solo gli allarmi soppressi dall'antivirus, ma nient'altro. Seleziona entrambe le caselle Use Suppressed Filter e Show Suppressed. È un'opzione predefinita.

Per saperne di più sulla soppressione degli allarmi in AlienVault, consulta Creazione di regole di soppressione dalla pagina Allarmi.

Regole del connettore

Il connettore supporta il proxy.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.