Esta página foi traduzida pela API Cloud Translation.

Integre o LevelBlue USM Anywhere com o Google SecOps

Este documento descreve como integrar o LevelBlue Unified Security Management (USM) Anywhere com o Google Security Operations (Google SecOps).

Versão de integração: 31.0

Acesso à rede do LevelBlue USM Anywhere

Acesso à API do Google SecOps para o LevelBlue USM Anywhere: permitir tráfego através da porta 443 (HTTPS).

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome da instância	String	N/A	Não	Nome da instância para a qual pretende configurar a integração.
Descrição	String	N/A	Não	Descrição da instância.
Raiz da API	String	N/A	Sim	Endereço da instância do LevelBlue USM Anywhere.
ClientID	String	N/A	Sim	O ID do utilizador.
Secreto	Palavra-passe	N/A	Sim	A palavra-passe da conta de utilizador.
Versão do produto	String	V2	Sim	Versão do produto LevelBlue USM Anywhere.
Usar SSL	Caixa de verificação	Marcado	Não	Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor do LevelBlue USM Anywhere.
Executar remotamente	Caixa de verificação	Desmarcado	Não	Selecione a caixa de verificação para executar a integração configurada remotamente. Depois de selecionar esta opção, é apresentada a opção para selecionar o utilizador remoto (agente).

Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.

Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.

Ações

Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.

Obter detalhes do alarme

Obtém detalhes de um alarme por ID.

Parâmetros

Nome do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
ID do alarme	String	N/A	Sim	O ID do alarme. Podem ser obtidas através da execução do conetor.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro ou falso	is_success:False

Parede da caixa

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	Em caso de erro: "Failed to get details about AlienVault Anywhere alarm! O erro é {}. A ação deve falhar." Ação aprovada com êxito: "Successfully returned AlienVault Anywhere alarm {} details" (Detalhes do alarme do AlienVault Anywhere devolvidos com êxito) Quando o parâmetro Product version está definido como V1: "A ação deve falhar com uma mensagem clara de que é suportada na V2."	Geral
Tabela CSV	Colunas: ID Prioridade Hora da ocorrência Hora de receção Origem Organização de origem País de origem Destino ID do ataque da regra Estratégia de regras ID da regra Tática de ataque de regras Técnica de ataque da regra Intenção da regra	Geral

Tipo de resultado

Descrição

Tipo

Mensagem de saída*

Em caso de erro: "Failed to get details about AlienVault Anywhere alarm! O erro é {}. A ação deve falhar."

Ação aprovada com êxito: "Successfully returned AlienVault Anywhere alarm {} details" (Detalhes do alarme do AlienVault Anywhere devolvidos com êxito)

Quando o parâmetro Product version está definido como V1: "A ação deve falhar com uma mensagem clara de que é suportada na V2."

Geral

Tabela CSV

Colunas:

ID
Prioridade
Hora da ocorrência
Hora de receção
Origem
Organização de origem
País de origem
Destino
ID do ataque da regra
Estratégia de regras
ID da regra
Tática de ataque de regras
Técnica de ataque da regra
Intenção da regra

Geral

Apresentar eventos

Pesquise eventos do AlienVault.

Parâmetros

Nome do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Limite de alarmes	String	N/A	Não	Número máximo de alarmes a devolver.
Nome da conta	String	N/A	Não	O nome da conta.
Nome do evento	String	N/A	Não	O nome do evento.
Hora de início	String	N/A	Não	Os resultados filtrados incluem eventos que ocorreram após esta data/hora. Formato: "%d/%m/%Y"
Hora de fim	String	N/A	Não	Os resultados filtrados incluem eventos que ocorreram antes desta data/hora. Formato: "%d/%m/%Y"
Suprimida	Caixa de verificação	N/A	Não	Filtra os eventos pela flag suprimida.
Nome da Origem	String	N/A	Não	O nome da origem.

É apresentado em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro ou falso	is_success:False

Resultado JSON

{
    "rep_device_fqdn": "192.0.2.30",
    "sorce_name": "192.0.2.30",
    "tag": "pdate-esp-kernelmodle.sh",
    "timestamp_occred": "1596541223000",
    "destination_address": "198.51.100.130",
    "rep_dev_canonical": "192.0.2.30",
    "destination_name": "198.51.100.130",
    "received_from": "Centos7-001",
    "timestamp_occred_iso8601": "2020-08-04T11:40:23.000Z",
    "id": "f52dd545-ff14-5576-3b70-47f10f528f53",
    "needs_enrichment": True,
    "rep_device_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received": "1596541223152",
    "sorce_canonical": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "destination_fqdn": "198.51.100.130",
    "_links": {
        "self": {
            "href": "URL"
        }
    },
    "has_alarm": False,
    "rep_device_address": "192.0.2.30",
    "event_name": "pdate-esp-kernelmodle.sh event",
    "sed_hint": False,
    "transient": False,
    "packet_type": "log",
    "was_fzzied": True,
    "sppressed": False,
    "log": "<13>Ag  4 14:40:23 Centos7-001 pdate-esp-kernelmodle.sh: McAfeeESPFileAccess installed in this system is - 198.51.100.130",
    "sorce_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received_iso8601": "2020-08-04T11:40:23.152Z",
    "destination_canonical": "198.51.100.130",
    "time_offset": "Z"
}

Parede da caixa

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	Em caso de erro geral: "A ação não foi concluída devido a um erro: {error}", o valor do resultado deve ser definido como falso e a ação deve falhar. Se a ação for concluída com êxito: "Successfully returned {len(events)} AlienVault Anywhere events" (Foram devolvidos com êxito {len(events)} eventos do AlienVault Anywhere) Se a ação não tiver sido executada: "Failed to list Endgame AlienVault Anywhere events!" (Falha ao listar eventos do Endgame AlienVault Anywhere!) Quando o parâmetro Product version está definido como V1: "A ação deve falhar com uma mensagem clara de que é suportada na V2."	Geral
Tabela CSV	Título da tabela: Eventos Colunas da tabela: ID Nome Hora da ocorrência Hora de receção Suprimida Gravidade Categoria Subcategoria Access Control Outcome Destino Porta de destino Origem Porta de origem Valores: id= uuid name = event_name Occurred Time=timestamp_occurred_iso8601 Received Time=timestamp_received_iso8601 Suprimido =suprimido Gravidade = event_severity Categoria = event_category Subcategoria = event_subcategory Access Control Outcome = access_control_outcome Destination = destination_name Porta de destino = destination_port Origem = source_name Porta de origem= porta_origem	Geral

Tipo de resultado

Descrição

Tipo

Mensagem de saída*

Em caso de erro geral: "A ação não foi concluída devido a um erro: {error}", o valor do resultado deve ser definido como falso e a ação deve falhar.

Se a ação for concluída com êxito: "Successfully returned {len(events)} AlienVault Anywhere events" (Foram devolvidos com êxito {len(events)} eventos do AlienVault Anywhere)

Se a ação não tiver sido executada: "Failed to list Endgame AlienVault Anywhere events!" (Falha ao listar eventos do Endgame AlienVault Anywhere!)

Quando o parâmetro Product version está definido como V1: "A ação deve falhar com uma mensagem clara de que é suportada na V2."

Geral

Tabela CSV

Título da tabela: Eventos

Colunas da tabela:

ID
Nome
Hora da ocorrência
Hora de receção
Suprimida
Gravidade
Categoria
Subcategoria
Access Control Outcome
Destino
Porta de destino
Origem
Porta de origem

Valores:

id= uuid
name = event_name
Occurred Time=timestamp_occurred_iso8601
Received Time=timestamp_received_iso8601
Suprimido =suprimido
Gravidade = event_severity
Categoria = event_category
Subcategoria = event_subcategory
Access Control Outcome = access_control_outcome
Destination = destination_name
Porta de destino = destination_port
Origem = source_name
Porta de origem= porta_origem

Geral

Tchim-tchim

Teste a conetividade.

Parâmetros

N/A

É apresentado em

Esta ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
êxito	Verdadeiro ou falso	success:False

Conetores

Para mais detalhes sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).

Conetor AlienVault USM Anywhere

O Google SecOps obtém alarmes do LevelBlue USM Anywhere quase em tempo real e encaminha-os como alertas para registos.

Parâmetros do conetor

Use os seguintes parâmetros para configurar o conector:

Nome do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Ambiente	LDD	N/A	Sim	Selecione o ambiente necessário. Por exemplo, "Cliente um". Se o campo Ambiente do alerta estiver vazio, é injetado neste ambiente.
Executar a cada	Número inteiro	0:0:0:10	Não	Selecione a hora para executar a associação.
Nome do campo do produto	String	device_product	Sim	O nome do campo usado para determinar o produto do dispositivo.
Nome do campo de evento	String	event_name	Sim	O nome do campo que determina o nome do evento (subtipo).
Máximo de dias para trás	Número inteiro	1	Sim	O número de dias antes da primeira iteração do conector para obter alertas. Este parâmetro pode aplicar-se à iteração inicial do conector depois de ativar o conector pela primeira vez ou ao valor alternativo para uma data/hora do conector expirada.
Máximo de alertas por ciclo	Número inteiro	10	Sim	O número máximo de alertas a obter no ciclo de cada conector. Limita o número de alertas em cada ciclo.
Validar SSL	Caixa de verificação	Desmarcado	Não	Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor do LevelBlue USM Anywhere.
Versão do produto	String	V2	Sim	Versão do AlienVault Anywhere: V1 e V2.
Secreto	Palavra-passe	N/A	Sim	A palavra-passe do utilizador correspondente.
ClientID	String	N/A	Sim	ID do utilizador.
Raiz da API	String	N/A	Sim	Exemplo: https://<instance>.alienvault.com
Limite de tempo do script (segundos)	String	60	Sim	O limite de tempo limite, em segundos, para o processo Python que executa o script atual.
Nome de utilizador do proxy	String	N/A	Não	O nome de utilizador do proxy para autenticação.
Palavra-passe do proxy	Palavra-passe	N/A	Não	A palavra-passe do proxy para autenticação.
Endereço do servidor proxy	String	N/A	Não	O endereço do servidor proxy a usar.
Método da regra	String	N/A	Não	Filtre os alarmes por método de regra. O método forneceria detalhes adicionais sobre o alvo do ataque e a vulnerabilidade específica. Exemplo: Firefox - CVE-2008-4064
Estratégia de regras	String	N/A	Não	A estratégia da regra que acionou o alarme. Por exemplo, use o ataque do lado do cliente – vulnerabilidade conhecida quando tentar explorar uma vulnerabilidade conhecida num navegador de Internet do atacante.
Intenção da regra	String	N/A	Não	Filtre os alarmes pela finalidade do alarme. A intenção descreve o contexto do comportamento que está a ser observado. Estas são as categorias de ameaças: comprometimento do sistema, exploração e instalação, fornecimento e ataque, reconhecimento e sondagem, sensibilização ambiental.
Prioridade	String	N/A	Não	Filtre por prioridade do alarme, separada por vírgulas. Valor válido: high/medium/low
Use o filtro Suprimido	Caixa de verificação	Desmarcado	Não	Este parâmetro é usado para determinar se as alertas recebidos devem ser filtrados ou não através do filtro Mostrar alertas suprimidos.
Mostrar suprimidas	Caixa de verificação	Marcado	Não	Se deve incluir alarmes suprimidos na pesquisa.
Período de preenchimento	Número inteiro	0	Não	Período de preenchimento em horas para a execução do conetor.

O conetor AlienVault USM Anywhere tem dois parâmetros, o que permite a filtragem inteligente dos alertas que estão a ser carregados para o Google SecOps, relativamente ao atributo suppressed que esses alertas têm:

Use Suppressed Filter: este parâmetro determina se as alertas recebidas são filtradas ou não através do filtro Show Suppressed.
Show Suppressed: este parâmetro determina se deve incluir alarmes suprimidos na pesquisa ou não. Existem três opções neste conector:
1. Importar todos os alertas de AV, suprimidos e não suprimidos: desmarque ambas as caixas.
2. Apresente apenas os alarmes não suprimidos do AV: selecione a caixa Use Suppressed Filter e desmarque a caixa Show Suppressed.
3. Apresentar apenas os alarmes suprimidos do AV, mas nada mais. Selecione as caixas Use Suppressed Filter e Show Suppressed. É uma opção predefinida.

Para mais informações sobre a supressão de alarmes no AlienVault, consulte o artigo Criar regras de supressão a partir da página de alarmes.

Regras de conector

O conetor suporta proxy.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.