이 페이지는 Cloud Translation API를 통해 번역되었습니다.

LevelBlue USM Anywhere와 Google SecOps 통합

이 문서에서는 LevelBlue 통합 보안 관리(USM) Anywhere를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.

통합 버전: 31.0

LevelBlue USM Anywhere에 대한 네트워크 액세스

Google SecOps에서 LevelBlue USM Anywhere로의 API 액세스: 포트 443 (HTTPS)을 통한 트래픽을 허용합니다.

통합 매개변수

다음 매개변수를 사용하여 통합을 구성합니다.

매개변수 이름	유형	기본값	필수 항목	설명
인스턴스 이름	문자열	해당 사항 없음	No	통합을 구성할 인스턴스의 이름입니다.
설명	문자열	해당 사항 없음	No	인스턴스에 대한 설명입니다.
API 루트	문자열	해당 사항 없음	예	LevelBlue USM Anywhere 인스턴스의 주소입니다.
ClientID	문자열	해당 사항 없음	예	사용자의 ID입니다.
보안 비밀	비밀번호	해당 사항 없음	예	사용자 계정의 비밀번호입니다.
제품 버전	문자열	V2	예	LevelBlue USM Anywhere 제품의 버전입니다.
Use SSL	체크박스	선택	아니요	선택하면 LevelBlue USM Anywhere 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다.
원격 실행	체크박스	선택 해제	아니요	구성된 통합을 원격으로 실행하려면 체크박스를 선택합니다. 선택하면 원격 사용자 (에이전트)를 선택하는 옵션이 나타납니다.

Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.

필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.

작업

작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.

알람 세부정보 가져오기

ID로 알람의 세부정보를 가져옵니다.

매개변수

매개변수 이름	유형	기본값	필수 항목	설명
알람 ID	문자열	해당 사항 없음	예	알람 ID입니다. 커넥터를 실행하여 가져올 수 있습니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True 또는 False	is_success:False

케이스 월

결과 유형	설명	유형
출력 메시지*	오류가 발생한 경우: 'Failed to get details about AlienVault Anywhere alarm! 오류가 {}입니다. 작업이 실패해야 합니다.' 작업 통과: 'AlienVault Anywhere 알람 {} 세부정보를 반환했습니다.' 제품 버전 매개변수가 V1로 설정된 경우: '작업이 V2에서 지원된다는 명확한 메시지와 함께 실패해야 합니다.'	일반
CSV 표	열: ID 우선순위 발생 시간 수신 시간 소스 소스 조직 소스 국가 대상 규칙 공격 ID 규칙 전략 규칙 ID 규칙 공격 전술 규칙 공격 기법 규칙 의도	일반

결과 유형

설명

유형

출력 메시지*

오류가 발생한 경우: 'Failed to get details about AlienVault Anywhere alarm! 오류가 {}입니다. 작업이 실패해야 합니다.'

작업 통과: 'AlienVault Anywhere 알람 {} 세부정보를 반환했습니다.'

제품 버전 매개변수가 V1로 설정된 경우: '작업이 V2에서 지원된다는 명확한 메시지와 함께 실패해야 합니다.'

일반

CSV 표

열:

ID
우선순위
발생 시간
수신 시간
소스
소스 조직
소스 국가
대상
규칙 공격 ID
규칙 전략
규칙 ID
규칙 공격 전술
규칙 공격 기법
규칙 의도

일반

이벤트 나열

AlienVault 이벤트를 검색합니다.

매개변수

매개변수 이름	유형	기본값	필수 항목	설명
알람 한도	문자열	해당 사항 없음	아니요	반환할 최대 알람 수입니다.
계정 이름	문자열	해당 사항 없음	아니요	계정 이름입니다.
이벤트 이름	문자열	해당 사항 없음	아니요	이벤트 이름입니다.
시작 시간	문자열	해당 사항 없음	아니요	필터링된 결과에는 이 타임스탬프 이후에 발생한 이벤트가 포함됩니다. 형식: '%d/%m/%Y'
종료 시간	문자열	해당 사항 없음	아니요	필터링된 결과에는 이 타임스탬프 이전에 발생한 이벤트가 포함됩니다. 형식: '%d/%m/%Y'
중지됨	체크박스	해당 사항 없음	아니요	억제된 플래그로 이벤트를 필터링할지 여부입니다.
소스 이름	문자열	해당 사항 없음	아니요	소스 이름입니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True 또는 False	is_success:False

JSON 결과

{
    "rep_device_fqdn": "192.0.2.30",
    "sorce_name": "192.0.2.30",
    "tag": "pdate-esp-kernelmodle.sh",
    "timestamp_occred": "1596541223000",
    "destination_address": "198.51.100.130",
    "rep_dev_canonical": "192.0.2.30",
    "destination_name": "198.51.100.130",
    "received_from": "Centos7-001",
    "timestamp_occred_iso8601": "2020-08-04T11:40:23.000Z",
    "id": "f52dd545-ff14-5576-3b70-47f10f528f53",
    "needs_enrichment": True,
    "rep_device_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received": "1596541223152",
    "sorce_canonical": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "destination_fqdn": "198.51.100.130",
    "_links": {
        "self": {
            "href": "URL"
        }
    },
    "has_alarm": False,
    "rep_device_address": "192.0.2.30",
    "event_name": "pdate-esp-kernelmodle.sh event",
    "sed_hint": False,
    "transient": False,
    "packet_type": "log",
    "was_fzzied": True,
    "sppressed": False,
    "log": "<13>Ag  4 14:40:23 Centos7-001 pdate-esp-kernelmodle.sh: McAfeeESPFileAccess installed in this system is - 198.51.100.130",
    "sorce_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received_iso8601": "2020-08-04T11:40:23.152Z",
    "destination_canonical": "198.51.100.130",
    "time_offset": "Z"
}

케이스 월

결과 유형	설명	유형
출력 메시지*	일반 오류의 경우: '오류로 인해 작업을 완료하지 못했습니다: {error}' 결과 값을 false로 설정하고 작업이 실패해야 합니다. 작업이 성공적으로 완료된 경우: 'AlienVault Anywhere 이벤트 {len(events)}개를 성공적으로 반환했습니다.' 작업을 실행하지 못한 경우: 'Endgame AlienVault Anywhere 이벤트를 나열하지 못했습니다.' 제품 버전 매개변수가 V1로 설정된 경우: '작업이 V2에서 지원된다는 명확한 메시지와 함께 실패해야 합니다.'	일반
CSV 표	표 제목: 이벤트 테이블 열: ID 이름 발생 시간 수신 시간 중지됨 심각도 카테고리 하위 카테고리 액세스 제어 결과 대상 Destination Port 소스 소스 포트 값: id= uuid name = event_name Occurred Time=timestamp_occurred_iso8601 Received Time=timestamp_received_iso8601 Suppressed =suppressed 심각도 = event_severity 카테고리 = event_category 하위 카테고리 = event_subcategory 액세스 제어 결과 = access_control_outcome Destination = destination_name 대상 포트 = destination_port 소스 = source_name Source Port= source_port	일반

결과 유형

설명

유형

출력 메시지*

일반 오류의 경우: '오류로 인해 작업을 완료하지 못했습니다: {error}' 결과 값을 false로 설정하고 작업이 실패해야 합니다.

작업이 성공적으로 완료된 경우: 'AlienVault Anywhere 이벤트 {len(events)}개를 성공적으로 반환했습니다.'

작업을 실행하지 못한 경우: 'Endgame AlienVault Anywhere 이벤트를 나열하지 못했습니다.'

제품 버전 매개변수가 V1로 설정된 경우: '작업이 V2에서 지원된다는 명확한 메시지와 함께 실패해야 합니다.'

일반

CSV 표

표 제목: 이벤트

테이블 열:

ID
이름
발생 시간
수신 시간
중지됨
심각도
카테고리
하위 카테고리
액세스 제어 결과
대상
Destination Port
소스
소스 포트

값:

id= uuid
name = event_name
Occurred Time=timestamp_occurred_iso8601
Received Time=timestamp_received_iso8601
Suppressed =suppressed
심각도 = event_severity
카테고리 = event_category
하위 카테고리 = event_subcategory
액세스 제어 결과 = access_control_outcome
Destination = destination_name
대상 포트 = destination_port
소스 = source_name
Source Port= source_port

일반

핑

연결을 테스트합니다.

매개변수

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
성공	True 또는 False	success:False

커넥터

Google SecOps에서 커넥터를 구성하는 방법에 관한 자세한 내용은 데이터 수집 (커넥터)을 참고하세요.

AlienVault USM Anywhere 커넥터

Google SecOps는 LevelBlue USM Anywhere에서 알람을 거의 실시간으로 가져와 케이스에 대한 알림으로 전달합니다.

커넥터 매개변수

다음 매개변수를 사용하여 커넥터를 구성합니다.

매개변수 이름	유형	기본값	필수 항목	설명
환경	DDL	해당 사항 없음	예	필요한 환경을 선택합니다. 예: '고객 1' 알림의 환경 필드가 비어 있으면 이 환경에 삽입됩니다.
실행 빈도	정수	0:0:0:10	아니요	연결을 실행할 시간을 선택합니다.
제품 필드 이름	문자열	device_product	예	기기 제품을 확인하는 데 사용되는 필드 이름입니다.
이벤트 필드 이름	문자열	event_name	예	이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다.
최대 이전 일수	정수	1	예	첫 번째 커넥터 반복 전에 알림을 가져올 일수입니다. 이 매개변수는 커넥터를 처음 사용 설정한 후의 초기 커넥터 반복 또는 만료된 커넥터 타임스탬프의 대체 값에 적용될 수 있습니다.
주기당 최대 알림 수	정수	10	예	각 커넥터의 주기에서 가져올 최대 알림 수입니다. 모든 주기에서 알림 수를 제한합니다.
SSL 확인	체크박스	선택 해제	아니요	선택하면 LevelBlue USM Anywhere 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다.
제품 버전	문자열	V2	예	AlienVault Anywhere 버전 - V1, V2
보안 비밀	비밀번호	해당 사항 없음	예	해당 사용자의 비밀번호입니다.
ClientID	문자열	해당 사항 없음	예	사용자의 ID입니다.
API 루트	문자열	해당 사항 없음	예	예: https://<instance>.alienvault.com
스크립트 제한 시간(초)	문자열	60	예	현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다.
프록시 사용자 이름	문자열	해당 사항 없음	아니요	인증할 프록시 사용자 이름입니다.
프록시 비밀번호	비밀번호	해당 사항 없음	아니요	인증할 프록시 비밀번호입니다.
프록시 서버 주소	문자열	해당 사항 없음	아니요	사용할 프록시 서버의 주소입니다.
규칙 메서드	문자열	해당 사항 없음	아니요	규칙 메서드로 알람을 필터링합니다. 이 메서드는 공격 대상과 특정 취약점에 관한 추가 세부정보를 제공합니다. 예: Firefox - CVE-2008-4064
규칙 전략	문자열	해당 사항 없음	아니요	알람을 트리거한 규칙의 전략입니다. 예를 들어 공격자가 웹브라우저의 알려진 취약점을 악용하려고 할 때는 클라이언트 측 공격 - 알려진 취약점을 사용합니다.
규칙 의도	문자열	해당 사항 없음	아니요	알람의 용도별로 알람을 필터링합니다. 인텐트는 관찰되는 동작의 컨텍스트를 설명합니다. 위협 카테고리는 시스템 침해, 악용 및 설치, 전송 및 공격, 정찰 및 탐색, 환경 인식입니다.
우선순위	문자열	해당 사항 없음	아니요	쉼표로 구분된 알람 우선순위로 필터링합니다. 유효한 값: high/medium/low
억제된 필터 사용	체크박스	선택 해제	아니요	이 매개변수는 '숨겨진 항목 표시' 필터를 사용하여 수신되는 알림을 필터링할지 여부를 결정하는 데 사용됩니다.
숨겨진 항목 표시	체크박스	선택	아니요	검색에 억제된 알람을 포함할지 여부입니다.
패딩 기간	정수	0	No	커넥터 실행 패딩 기간(시간)입니다.

AlienVault USM Anywhere Connector에는 두 가지 매개변수가 있어 이러한 알림에 있는 suppressed 속성과 관련하여 Google SecOps에 수집되는 알림을 스마트 필터링할 수 있습니다.

억제된 필터 사용: 이 매개변수는 Show Suppressed 필터를 사용하여 수신되는 알림을 필터링할지 여부를 결정합니다.
억제된 항목 표시: 이 매개변수는 검색에 억제된 알람을 포함할지 여부를 결정합니다. 이 커넥터에는 세 가지 옵션이 있습니다.
1. 억제된 AV 알림과 억제되지 않은 AV 알림을 모두 가져옵니다. 두 체크박스를 모두 선택합니다.
2. AV에서 억제되지 않은 알람만 가져옵니다. Use Suppressed Filter 상자를 선택하고 Show Suppressed 상자를 선택 해제합니다.
3. AV에서 억제된 알람만 가져오고 다른 항목은 가져오지 않습니다. Use Suppressed Filter 및 Show Suppressed 상자를 모두 선택합니다. 기본 옵션입니다.

AlienVault의 알람 억제에 대한 자세한 내용은 알람 페이지에서 억제 규칙 만들기를 참고하세요.

커넥터 규칙

커넥터가 프록시를 지원합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.