Integrar o LevelBlue USM Anywhere ao Google SecOps

Este documento descreve como integrar o LevelBlue Unified Security Management (USM) Anywhere ao Google Security Operations (Google SecOps).

Versão da integração: 31.0

Acesso à rede do LevelBlue USM Anywhere

Acesso à API do Google SecOps para o LevelBlue USM Anywhere: permita o tráfego pela porta 443 (HTTPS).

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Nome da instância	String	N/A	Não	Nome da instância em que você pretende configurar a integração.
Descrição	String	N/A	Não	Descrição da instância.
Raiz da API	String	N/A	Sim	Endereço da instância do LevelBlue USM Anywhere.
ClientID	String	N/A	Sim	O ID do usuário.
Secret	Senha	N/A	Sim	A senha da conta de usuário.
Versão do produto	String	V2	Sim	Versão do produto LevelBlue USM Anywhere.
Usar SSL	Caixa de seleção	Selecionado	Não	Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do LevelBlue USM Anywhere.
Executar remotamente	Caixa de seleção	Desmarcado	Não	Marque a caixa de seleção para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o usuário remoto (agente).

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Você pode fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.

Receber detalhes do alarme

Recupera detalhes de um alarme por ID.

Parâmetros

Nome do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
ID do alarme	String	N/A	Sim	O ID do alarme. Pode ser obtido executando o conector.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	True ou false	is_success:False

Painel de casos

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	Em caso de erro: "Não foi possível receber detalhes sobre o alerta do AlienVault Anywhere! O erro é {}. A ação deve falhar." Ação aprovada: "Os detalhes do alerta {} do AlienVault Anywhere foram retornados" Quando o parâmetro "Product version" (Versão do produto) é definido como V1 : "A ação precisa falhar com uma mensagem clara compatível com a V2".	Geral
Tabela CSV	Colunas: ID Prioridade Horário de ocorrência Hora de recebimento Origem Organização de origem País de origem Destino ID do ataque da regra Estratégia de regra Código da regra Tática de ataque por regra Técnica de ataque de regra Intenção da regra	Geral

Tipo de resultado

Descrição

Tipo

Mensagem de saída*

Em caso de erro: "Não foi possível receber detalhes sobre o alerta do AlienVault Anywhere! O erro é {}. A ação deve falhar."

Ação aprovada: "Os detalhes do alerta {} do AlienVault Anywhere foram retornados"

Quando o parâmetro "Product version" (Versão do produto) é definido como V1 : "A ação precisa falhar com uma mensagem clara compatível com a V2".

Geral

Tabela CSV

Colunas:

ID
Prioridade
Horário de ocorrência
Hora de recebimento
Origem
Organização de origem
País de origem
Destino
ID do ataque da regra
Estratégia de regra
Código da regra
Tática de ataque por regra
Técnica de ataque de regra
Intenção da regra

Geral

Listar eventos

Pesquise eventos do AlienVault.

Parâmetros

Nome do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Limite de alarmes	String	N/A	Não	Número máximo de alarmes a serem retornados.
Nome da conta	String	N/A	Não	O nome da conta.
Nome do evento	String	N/A	Não	O nome do evento.
Horário de início	String	N/A	Não	Os resultados filtrados vão incluir eventos que ocorreram depois desse carimbo de data e hora. Formato: "%d/%m/%Y"
Horário de término	String	N/A	Não	Os resultados filtrados vão incluir eventos que ocorreram antes desse carimbo de data/hora. Formato: "%d/%m/%Y"
Suprimida	Caixa de seleção	N/A	Não	Indica se os eventos devem ser filtrados pela flag de supressão.
Nome da origem	String	N/A	Não	O nome da origem.

Data de execução

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	True ou false	is_success:False

Resultado JSON

{
    "rep_device_fqdn": "192.0.2.30",
    "sorce_name": "192.0.2.30",
    "tag": "pdate-esp-kernelmodle.sh",
    "timestamp_occred": "1596541223000",
    "destination_address": "198.51.100.130",
    "rep_dev_canonical": "192.0.2.30",
    "destination_name": "198.51.100.130",
    "received_from": "Centos7-001",
    "timestamp_occred_iso8601": "2020-08-04T11:40:23.000Z",
    "id": "f52dd545-ff14-5576-3b70-47f10f528f53",
    "needs_enrichment": True,
    "rep_device_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received": "1596541223152",
    "sorce_canonical": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "destination_fqdn": "198.51.100.130",
    "_links": {
        "self": {
            "href": "URL"
        }
    },
    "has_alarm": False,
    "rep_device_address": "192.0.2.30",
    "event_name": "pdate-esp-kernelmodle.sh event",
    "sed_hint": False,
    "transient": False,
    "packet_type": "log",
    "was_fzzied": True,
    "sppressed": False,
    "log": "<13>Ag  4 14:40:23 Centos7-001 pdate-esp-kernelmodle.sh: McAfeeESPFileAccess installed in this system is - 198.51.100.130",
    "sorce_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received_iso8601": "2020-08-04T11:40:23.152Z",
    "destination_canonical": "198.51.100.130",
    "time_offset": "Z"
}

Painel de casos

Tipo de resultado	Descrição	Tipo
Mensagem de saída*	Em caso de erro geral: "A ação não foi concluída devido a um erro: {error}". O valor do resultado precisa ser definido como "false", e a ação precisa falhar. Se a ação for concluída com sucesso: "Retornou {len(events)} eventos do AlienVault Anywhere com sucesso" Se a ação não foi executada: "Não foi possível listar os eventos do Endgame AlienVault Anywhere!" Quando o parâmetro "Product version" (Versão do produto) é definido como V1: "A ação precisa falhar com uma mensagem clara compatível com a V2".	Geral
Tabela CSV	Título da tabela:Eventos Colunas da tabela: ID Nome Horário de ocorrência Hora de recebimento Suprimida Gravidade Categoria Subcategoria Resultado do controle de acesso Destino Porta de destino Origem Porta de origem Valores: id= uuid name = event_name Occurred Time=timestamp_occurred_iso8601 Received Time=timestamp_received_iso8601 Suppressed =suppressed Severity = event_severity Categoria = event_category Subcategoria = event_subcategory Resultado do controle de acesso = access_control_outcome Destination = destination_name Destination Port = destination_port Origem = source_name Source Port= source_port	Geral

Tipo de resultado

Descrição

Tipo

Mensagem de saída*

Em caso de erro geral: "A ação não foi concluída devido a um erro: {error}". O valor do resultado precisa ser definido como "false", e a ação precisa falhar.

Se a ação for concluída com sucesso: "Retornou {len(events)} eventos do AlienVault Anywhere com sucesso"

Se a ação não foi executada: "Não foi possível listar os eventos do Endgame AlienVault Anywhere!"

Quando o parâmetro "Product version" (Versão do produto) é definido como V1: "A ação precisa falhar com uma mensagem clara compatível com a V2".

Geral

Tabela CSV

Título da tabela:Eventos

Colunas da tabela:

ID
Nome
Horário de ocorrência
Hora de recebimento
Suprimida
Gravidade
Categoria
Subcategoria
Resultado do controle de acesso
Destino
Porta de destino
Origem
Porta de origem

Valores:

id= uuid
name = event_name
Occurred Time=timestamp_occurred_iso8601
Received Time=timestamp_received_iso8601
Suppressed =suppressed
Severity = event_severity
Categoria = event_category
Subcategoria = event_subcategory
Resultado do controle de acesso = access_control_outcome
Destination = destination_name
Destination Port = destination_port
Origem = source_name
Source Port= source_port

Geral

Ping

Teste a conectividade.

Parâmetros

N/A

Data de execução

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
sucesso	True ou false	success:False

Conectores

Para saber mais sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).

Conector do AlienVault USM Anywhere

O Google SecOps busca alarmes do LevelBlue USM Anywhere quase em tempo real e os encaminha como alertas para casos.

Parâmetros do conector

Use os seguintes parâmetros para configurar o conector:

Nome do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Ambiente	DDL	N/A	Sim	Selecione o ambiente necessário. Por exemplo, "Cliente Um". Se o campo Ambiente do alerta estiver vazio, ele será injetado neste ambiente.
Executar a cada	Número inteiro	0:0:0:10	Não	Selecione o horário para executar a conexão.
Nome do campo do produto	String	device_product	Sim	O nome do campo usado para determinar o produto do dispositivo.
Nome do campo de evento	String	event_name	Sim	O nome do campo que determina o nome do evento (subtipo).
Número máximo de dias para retroceder	Número inteiro	1	Sim	O número de dias antes da primeira iteração do conector para recuperar alertas. Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector.
Máximo de alertas por ciclo	Número inteiro	10	Sim	O número máximo de alertas a serem buscados no ciclo de cada conector. Limita o número de alertas em cada ciclo.
Verificar SSL	Caixa de seleção	Desmarcado	Não	Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do LevelBlue USM Anywhere.
Versão do produto	String	V2	Sim	Versão do AlienVault Anywhere: V1, V2.
Secret	Senha	N/A	Sim	A senha do usuário correspondente.
ClientID	String	N/A	Sim	ID do usuário.
Raiz da API	String	N/A	Sim	Exemplo: https://<instance>.alienvault.com
Tempo limite do script (segundos)	String	60	Sim	O limite de tempo limite, em segundos, para o processo do Python que executa o script atual.
Nome de usuário do proxy	String	N/A	Não	O nome de usuário do proxy para autenticação.
Senha do proxy	Senha	N/A	Não	A senha do proxy para autenticação.
Endereço do servidor proxy	String	N/A	Não	O endereço do servidor proxy a ser usado.
Método de regra	String	N/A	Não	Filtre os alertas por método de regra. O método forneceria mais detalhes sobre o alvo do ataque e a vulnerabilidade específica. Exemplo: Firefox - CVE-2008-4064
Estratégia de regra	String	N/A	Não	A estratégia da regra que acionou o alarme. Por exemplo, use "Ataque do lado do cliente: vulnerabilidade conhecida" ao tentar explorar uma vulnerabilidade conhecida em um navegador da Web pelo invasor.
Intenção da regra	String	N/A	Não	Filtre os alarmes de acordo com a finalidade deles. A intenção descreve o contexto do comportamento que está sendo observado. Estas são as categorias de ameaças: comprometimento do sistema, exploração e instalação, entrega e ataque, reconhecimento e sondagem, conscientização ambiental.
Prioridade	String	N/A	Não	Filtre por prioridade do alarme, separada por vírgulas. Valor válido: high/medium/low
Usar filtro suprimido	Caixa de seleção	Desmarcado	Não	Esse parâmetro será usado para determinar se os alertas recebidos serão filtrados usando o filtro "Mostrar suprimidos".
Mostrar suprimidos	Caixa de seleção	Selecionado	Não	Se os alarmes suprimidos devem ser incluídos na pesquisa.
Período de padding	Número inteiro	0	Não	Período de padding em horas para a execução do conector.

O AlienVault USM Anywhere Connector tem dois parâmetros, permitindo a filtragem inteligente dos alertas ingeridos no Google SecOps em relação ao atributo suppressed que esses alertas têm:

Usar filtro suprimido: esse parâmetro determina se os alertas recebidos serão filtrados usando o filtro Show Suppressed ou não.
Mostrar suprimidos: esse parâmetro determina se os alarmes suprimidos serão incluídos na pesquisa ou não. Há três opções neste conector:
1. Mostrar todos os alertas de AV, suprimidos e não suprimidos. Desmarque as duas caixas.
2. Traga apenas os alarmes não suprimidos do AV. Para isso, selecione a caixa Use Suppressed Filter e desmarque a caixa Show Suppressed.
3. Trazer apenas os alarmes suprimidos do AV, mas nada mais. Selecione as caixas Use Suppressed Filter e Show Suppressed. Essa é uma opção padrão.

Para mais informações sobre a supressão de alarmes no AlienVault, consulte Como criar regras de supressão na página "Alarmes".

Regras do conector

O conector é compatível com proxy.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.