LevelBlue USM Anywhere を Google SecOps と統合する

このドキュメントでは、LevelBlue Unified Security Management(USM)Anywhere を Google Security Operations(Google SecOps)と統合する方法について説明します。

統合バージョン: 31.0

LevelBlue USM Anywhere へのネットワーク アクセス

Google SecOps から LevelBlue USM Anywhere への API アクセス: ポート 443(HTTPS)経由のトラフィックを許可します。

統合のパラメータ

次のパラメータを使用して統合を構成します。

パラメータ名 種類 デフォルト値 必須 説明
インスタンス名 文字列 なし いいえ 統合を構成するインスタンスの名前。
説明 文字列 なし いいえ インスタンスの説明。
API ルート 文字列 なし はい LevelBlue USM Anywhere インスタンスのアドレス。
ClientID 文字列 なし はい ユーザーの ID。
シークレット パスワード なし はい ユーザー アカウントのパスワード。
プロダクト バージョン 文字列 V2 はい LevelBlue USM Anywhere プロダクトのバージョン。
Use SSL チェックボックス オン いいえ 選択すると、LevelBlue USM Anywhere サーバーに接続するときに SSL 証明書が検証されます。
リモートで実行 チェックボックス オフ いいえ 構成した統合をリモートで実行するには、チェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。

Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。

必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。

操作

アクションの詳細については、 デスクから保留中のアクションに対応する手動アクションを実行するをご覧ください。

アラームの詳細を取得する

ID でアラームの詳細を取得します。

パラメータ

パラメータ名 種類 デフォルト値 必須 説明
アラーム ID 文字列 なし はい アラーム ID。コネクタを実行して取得できます。

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
is_success 正誤問題 is_success:False
ケースウォール
結果のタイプ 説明 種類
出力メッセージ *

エラーの場合: 「AlienVault Anywhere アラームの詳細を取得できませんでした。エラーは {} です。アクションは失敗します。」

アクションが正常に完了した場合: 「Successfully returned AlienVault Anywhere alarm {} details」

Product version パラメータが V1 に設定されている場合: 「V2 でサポートされている明確なメッセージとともにアクションが失敗するはずです。」

 全般
CSV テーブル

列:

  • ID
  • 優先度
  • 発生時刻
  • 受信時刻
  • ソース
  • ソース組織
  • 発生元の国
  • 目的地
  • ルール攻撃 ID
  • ルール戦略
  • ルール ID
  • ルール攻撃戦術
  • ルールの攻撃手法
  • ルールの意図
 全般

イベントのリストを取得する

AlienVault イベントを検索します。

パラメータ

パラメータ名 種類 デフォルト値 必須 説明
アラームの上限 文字列 なし いいえ 返すアラームの最大数。
Account Name 文字列 なし いいえ アカウント名。
イベント名 文字列 なし いいえ イベントの名前。
開始時刻 文字列 なし いいえ

フィルタされた結果には、このタイムスタンプより後に発生したイベントが含まれます。

形式: 「%d/%m/%Y」
終了時刻 文字列 なし いいえ

フィルタリングされた結果には、このタイムスタンプより前に発生したイベントが含まれます。

形式: 「%d/%m/%Y」
無効化済み チェックボックス なし いいえ 抑制フラグでイベントをフィルタするかどうか。
ソース名 文字列 なし いいえ ソース名。

実行

このアクションはエンティティに対しては実行されません。

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
is_success 正誤問題 is_success:False
JSON の結果
{
    "rep_device_fqdn": "192.0.2.30",
    "sorce_name": "192.0.2.30",
    "tag": "pdate-esp-kernelmodle.sh",
    "timestamp_occred": "1596541223000",
    "destination_address": "198.51.100.130",
    "rep_dev_canonical": "192.0.2.30",
    "destination_name": "198.51.100.130",
    "received_from": "Centos7-001",
    "timestamp_occred_iso8601": "2020-08-04T11:40:23.000Z",
    "id": "f52dd545-ff14-5576-3b70-47f10f528f53",
    "needs_enrichment": True,
    "rep_device_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received": "1596541223152",
    "sorce_canonical": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "destination_fqdn": "198.51.100.130",
    "_links": {
        "self": {
            "href": "URL"
        }
    },
    "has_alarm": False,
    "rep_device_address": "192.0.2.30",
    "event_name": "pdate-esp-kernelmodle.sh event",
    "sed_hint": False,
    "transient": False,
    "packet_type": "log",
    "was_fzzied": True,
    "sppressed": False,
    "log": "<13>Ag  4 14:40:23 Centos7-001 pdate-esp-kernelmodle.sh: McAfeeESPFileAccess installed in this system is - 198.51.100.130",
    "sorce_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received_iso8601": "2020-08-04T11:40:23.152Z",
    "destination_canonical": "198.51.100.130",
    "time_offset": "Z"
}
ケースウォール
結果のタイプ 説明 種類
出力メッセージ *

一般的なエラーの場合: 「エラーのためアクションが完了しませんでした: {error}」というメッセージが表示され、結果の値が false に設定され、アクションが失敗します。

アクションが正常に完了した場合: 「Successfully returned {len(events)} AlienVault Anywhere events」

アクションの実行に失敗した場合: 「Endgame AlienVault Anywhere イベントの一覧表示に失敗しました。」

Product version パラメータが V1 に設定されている場合: 「V2 でサポートされている明確なメッセージでアクションが失敗するはずです。」

 全般
CSV テーブル

表のタイトル: イベント

テーブル列:

  • ID
  • 名前
  • 発生時刻
  • 受信時刻
  • 無効化済み
  • 重大度
  • カテゴリ
  • サブカテゴリ
  • アクセス制御の結果
  • 目的地
  • 宛先ポート
  • ソース
  • 送信元ポート

値:

  1. id= uuid
  2. name = event_name
  3. Occurred Time=timestamp_occurred_iso8601
  4. Received Time=timestamp_received_iso8601
  5. Suppressed =suppressed
  6. Severity = event_severity
  7. カテゴリ = event_category
  8. サブカテゴリ = event_subcategory
  9. アクセス制御の結果 = access_control_outcome
  10. Destination = destination_name
  11. 宛先ポート = destination_port
  12. Source = source_name
  13. Source Port= source_port
 全般

Ping

接続をテストします。

パラメータ

なし

実行

このアクションはすべてのエンティティに対して実行されます。

アクションの結果

スクリプトの結果
スクリプトの結果名 値のオプション
成功 正誤問題 success:False

コネクタ

Google SecOps でコネクタを構成する方法について詳しくは、データを取り込む(コネクタ)をご覧ください。

AlienVault USM Anywhere コネクタ

Google SecOps は、LevelBlue USM Anywhere からアラームをほぼリアルタイムで取得し、ケースのアラートとして転送します。

コネクタ パラメータ

次のパラメータを使用してコネクタを構成します。

パラメータ名 種類 デフォルト値 必須 説明
環境 DDL なし

必要な環境を選択します。(例: 「Customer One」)。

アラートの [環境] フィールドが空の場合、この環境に挿入されます。
実行間隔 整数 0:0:0:10 いいえ 接続を実行する時間を選択します。
プロダクト フィールド名 文字列 device_product デバイス プロダクトを特定するために使用されるフィールド名。
イベント フィールド名 文字列 event_name はい

イベント名(サブタイプ)を特定するフィールドの名前。
遡る最大日数 整数 1 はい 最初コネクタの反復処理の前にアラートを取得する日数。

このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーション、または期限切れのコネクタ タイムスタンプのフォールバック値に適用できます。
1 サイクルあたりのアラートの最大数 Integer 10 はい

各コネクタのサイクルで取得するアラートの最大数。

各サイクルのアラート数を制限します。
SSL を確認する チェックボックス オフ いいえ 選択すると、LevelBlue USM Anywhere サーバーに接続するときに SSL 証明書が検証されます。
プロダクト バージョン 文字列 V2 はい AlienVault Anywhere のバージョン - V1、V2。
シークレット パスワード なし 対応するユーザーのパスワード。
ClientID 文字列 なし はい ユーザの ID
API ルート 文字列 なし はい 例: https://<インスタンス>.alienvault.com
スクリプトのタイムアウト(秒) 文字列 60 はい

現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。
プロキシのユーザー名 文字列 なし いいえ 認証に使用するプロキシのユーザー名。
プロキシ パスワード パスワード なし いいえ 認証に使用するプロキシ パスワード。
プロキシ サーバーのアドレス 文字列 なし いいえ 使用するプロキシ サーバーのアドレス。
ルールメソッド 文字列 なし いいえ ルールメソッドでアラームをフィルタします。このメソッドは、攻撃の対象と特定の脆弱性に関する詳細情報を提供します。例: Firefox - CVE-2008-4064
ルール戦略 文字列 なし いいえ アラームをトリガーしたルールの戦略。たとえば、攻撃者がウェブブラウザの既知の脆弱性を悪用しようとしている場合は、[Client-Side Attack - Known Vulnerability] を使用します。
ルールの意図 文字列 なし いいえ アラームの目的でアラームをフィルタします。インテントは、監視されている動作のコンテキストを記述します。脅威のカテゴリは、System Compromise、Exploitation & Installation、Delivery & Attack、Reconnaissance & Probing、Environmental Awareness です。
優先度 文字列 なし いいえ アラームの優先度でフィルタします(カンマ区切り)。有効な値: high/medium/low
抑制されたフィルタを使用する チェックボックス オフ いいえ このパラメータは、[非表示] フィルタを使用して受信アラートをフィルタするかどうかを判断するために使用されます。
抑制された検出結果を表示 チェックボックス オン いいえ 抑制されたアラームを検索に含めるかどうか。
パディング期間 整数 0 いいえ コネクタ実行のパディング期間(時間単位)。

AlienVault USM Anywhere Connector には 2 つのパラメータがあり、アラートが持つ suppressed 属性に関して、Google SecOps に取り込まれるアラートのスマート フィルタリングが可能です。

  • Use Suppressed Filter: このパラメータは、Show Suppressed フィルタを使用して受信アラートをフィルタするかどうかを決定します。

  • Show Suppressed: このパラメータは、抑制されたアラームを検索に含めるかどうかを決定します。このコネクタには次の 3 つのオプションがあります。

    1. すべての AV アラート(抑制されたものと抑制されていないもの)を取り込みます。両方のチェックボックスをオフにします。
    2. AV から抑制されていないアラームのみを取得する - Use Suppressed Filter ボックスをオンにして、Show Suppressed ボックスをオフにします。
    3. AV から抑制されたアラームのみを移行し、それ以外は移行しない - Use Suppressed FilterShow Suppressed の両方のチェックボックスをオンにします。これはデフォルトのオプションです。

AlienVault でのアラーム抑制の詳細については、アラーム ページから抑制ルールを作成するをご覧ください。

コネクタルール

コネクタはプロキシをサポートしています。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。