将 LevelBlue USM Anywhere 与 Google SecOps 集成
本文档介绍了如何将 LevelBlue Unified Security Management (USM) Anywhere 与 Google Security Operations (Google SecOps) 集成。
集成版本:31.0
对 LevelBlue USM Anywhere 的网络访问权限
从 Google SecOps 到 LevelBlue USM Anywhere 的 API 访问:允许通过端口 443 (HTTPS) 传输流量。
集成参数
使用以下参数配置集成:
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| API 根 | 字符串 | 不适用 | 是 | LevelBlue USM Anywhere 实例的地址。 |
| ClientID | 字符串 | 不适用 | 是 | 用户的 ID。 |
| Secret | 密码 | 不适用 | 是 | 用户账号的密码。 |
| 产品版本 | 字符串 | V2 | 是 | LevelBlue USM Anywhere 产品的版本。 |
| Use SSL(使用 SSL) | 复选框 | 勾选 | 否 | 如果选择此项,集成会在连接到 LevelBlue USM Anywhere 服务器时验证 SSL 证书。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选中相应复选框以远程运行配置的集成。选择后,系统会显示用于选择远程用户(客服人员)的选项。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行手动操作。
获取闹钟详细信息
按 ID 检索闹钟的详细信息。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 闹钟 ID | 字符串 | 不适用 | 是 | 闹钟 ID。可通过运行连接器获取。 |
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果出现错误:“Failed to get details about AlienVault Anywhere alarm! 错误为 {}。操作应失败。” 操作成功通过: “成功返回 AlienVault Anywhere 警报 {} 详细信息” 当产品版本参数设置为 V1 时: “操作应失败,并显示 V2 中支持的明确消息。” |
常规 |
| CSV 表格 | 列:
|
常规 |
列出活动
搜索 AlienVault 事件。
参数
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 闹钟数量上限 | 字符串 | 不适用 | 否 | 要返回的闹钟数量上限。 |
| 账号名称 | 字符串 | 不适用 | 否 | 账号名称。 |
| 事件名称 | 字符串 | 不适用 | 否 | 事件的名称。 |
| 开始时间 | 字符串 | 不适用 | 否 | 过滤后的结果将包含在此时间戳之后发生的事件。 格式:“%d/%m/%Y” |
| 结束时间 | 字符串 | 不适用 | 否 | 过滤后的结果将包含在此时间戳之前发生的事件。 格式:“%d/%m/%Y” |
| 已禁用 | 复选框 | 不适用 | 否 | 是否按抑制标志过滤事件。 |
| 来源名称 | 字符串 | 不适用 | 否 | 来源名称。 |
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 结果
{
"rep_device_fqdn": "192.0.2.30",
"sorce_name": "192.0.2.30",
"tag": "pdate-esp-kernelmodle.sh",
"timestamp_occred": "1596541223000",
"destination_address": "198.51.100.130",
"rep_dev_canonical": "192.0.2.30",
"destination_name": "198.51.100.130",
"received_from": "Centos7-001",
"timestamp_occred_iso8601": "2020-08-04T11:40:23.000Z",
"id": "f52dd545-ff14-5576-3b70-47f10f528f53",
"needs_enrichment": True,
"rep_device_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
"timestamp_received": "1596541223152",
"sorce_canonical": "256fa9b1-a066-c9eb-561a-c2110035978a",
"destination_fqdn": "198.51.100.130",
"_links": {
"self": {
"href": "URL"
}
},
"has_alarm": False,
"rep_device_address": "192.0.2.30",
"event_name": "pdate-esp-kernelmodle.sh event",
"sed_hint": False,
"transient": False,
"packet_type": "log",
"was_fzzied": True,
"sppressed": False,
"log": "<13>Ag 4 14:40:23 Centos7-001 pdate-esp-kernelmodle.sh: McAfeeESPFileAccess installed in this system is - 198.51.100.130",
"sorce_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
"timestamp_received_iso8601": "2020-08-04T11:40:23.152Z",
"destination_canonical": "198.51.100.130",
"time_offset": "Z"
}
案例墙
| 结果类型 | 说明 | 类型 |
|---|---|---|
| 输出消息* | 如果出现一般错误:“Action didn't complete due to error: {error}”,结果值应设置为 false,并且操作应失败。 如果操作成功完成:“Successfully returned {len(events)} AlienVault Anywhere events”(已成功返回 {len(events)} 个 AlienVault Anywhere 事件) 如果操作未能运行:“Failed to list Endgame AlienVault Anywhere events!” 当产品版本参数设置为 V1 时:“操作应失败,并显示 V2 中支持的明确消息。” |
常规 |
| CSV 表格 | 表格标题:活动 表格列:
值:
|
常规 |
Ping
测试连接性。
参数
不适用
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True 或 False | success:False |
连接器
如需详细了解如何在 Google SecOps 中配置连接器,请参阅注入数据(连接器)。
AlienVault USM Anywhere 连接器
Google SecOps 会近乎实时地从 LevelBlue USM Anywhere 获取闹钟,并将其作为提醒转发给支持请求。
连接器参数
使用以下参数配置连接器:
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 环境 | DDL | 不适用 | 是 | 选择所需的环境。例如,“客户一”。 如果提醒的环境字段为空,则会将其注入此环境。 |
| 运行频率 | 整数 | 0:0:0:10 | 否 | 选择运行连接的时间。 |
| 商品字段名称 | 字符串 | device_product | 是 | 用于确定设备产品的字段名称。 |
| 事件字段名称 | 字符串 | event_name | 是 | 用于确定事件名称(子类型)的字段的名称。 |
| 回溯的天数上限 | 整数 | 1 | 是 | 在第一个连接器迭代之前检索提醒的天数。
此参数可应用于您首次启用连接器后的初始连接器迭代,也可作为过期连接器时间戳的回退值。 |
| 每个周期的提醒数量上限 | 整数 | 10 | 是 | 每个连接器周期中要提取的提醒数量上限。 限制每个周期内的提醒数量。 |
| 验证 SSL | 复选框 | 尚未核查 | 否 | 如果选择此项,集成会在连接到 LevelBlue USM Anywhere 服务器时验证 SSL 证书。 |
| 产品版本 | 字符串 | V2 | 是 | AlienVault Anywhere 版本 - V1、V2。 |
| Secret | 密码 | 不适用 | 是 | 相应用户的密码。 |
| ClientID | 字符串 | 不适用 | 是 | 用户的 ID。 |
| API 根 | 字符串 | 不适用 | 是 | 示例:https://<实例>.alienvault.com |
| 脚本超时(秒) | 字符串 | 60 | 是 | 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 规则方法 | 字符串 | 不适用 | 否 | 按规则方法过滤提醒。该方法将提供有关攻击目标和特定漏洞的更多详细信息。示例:Firefox - CVE-2008-4064 |
| 规则策略 | 字符串 | 不适用 | 否 | 触发闹钟的规则的策略。例如,当攻击者尝试利用 Web 浏览器中的已知漏洞时,请使用“客户端攻击 - 已知漏洞”。 |
| 规则意图 | 字符串 | 不适用 | 否 | 按闹钟用途过滤闹钟。意图描述了正在观察的行为的上下文。威胁类别包括:系统入侵、漏洞利用和安装、交付和攻击、侦察和探测、环境感知。 |
| 优先级 | 字符串 | 不适用 | 否 | 按报警优先级过滤,以英文逗号分隔。有效值:high/medium/low |
| 使用抑制过滤器 | 复选框 | 尚未核查 | 否 | 此参数将用于确定是否使用“显示已屏蔽”过滤条件来过滤传入的提醒。 |
| 显示被抑制的路由 | 复选框 | 勾选 | 否 | 是否在搜索中包含已抑制的闹钟。 |
| 缓冲期 | 整数 | 0 | 否 | 连接器执行的填充时间段(以小时为单位)。 |
AlienVault USM Anywhere 连接器具有两个参数,可根据提取到 Google SecOps 中的警报所具有的 suppressed 属性,对这些警报进行智能过滤:
- 使用抑制过滤条件:此参数用于确定是否使用
Show Suppressed过滤条件过滤传入的提醒。 显示已抑制的:此参数用于确定是否在搜索中包含已抑制的闹钟。此连接器中有三个选项:
- 纳入所有 AV 提醒,无论是否被抑制 - 清除这两个复选框。
- 仅从 AV 中提取未抑制的闹钟 - 选中
Use Suppressed Filter框并清除Show Suppressed框。 - 仅从 AV 中提取已抑制的闹钟,不提取其他任何内容 - 同时选中
Use Suppressed Filter和Show Suppressed框。这是一个默认选项。
如需详细了解 AlienVault 中的警报抑制,请参阅从“警报”页面创建抑制规则。
连接器规则
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。