整合 LevelBlue USM Anywhere 與 Google SecOps
本文說明如何將 LevelBlue Unified Security Management (USM) Anywhere 與 Google Security Operations (Google SecOps) 整合。
整合版本:31.0
LevelBlue USM Anywhere 的網路存取權
從 Google SecOps 存取 LevelBlue USM Anywhere 的 API:允許透過通訊埠 443 (HTTPS) 傳輸流量。
整合參數
請使用下列參數設定整合:
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 根目錄 | 字串 | 不適用 | 是 | LevelBlue USM Anywhere 執行個體的地址。 |
| ClientID | 字串 | 不適用 | 是 | 使用者 ID。 |
| 密鑰 | 密碼 | 不適用 | 是 | 使用者帳戶的密碼。 |
| 產品版本 | 字串 | V2 | 是 | LevelBlue USM Anywhere 產品版本。 |
| 使用 SSL | 核取方塊 | 已勾選 | 否 | 如果選取這個選項,整合服務會在連線至 LevelBlue USM Anywhere 伺服器時驗證 SSL 憑證。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選核取方塊,即可遠端執行設定的整合。選取後,系統會顯示選項,供您選取遠端使用者 (服務專員)。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
取得鬧鐘詳細資料
依 ID 擷取鬧鐘的詳細資料。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 鬧鐘 ID | 字串 | 不適用 | 是 | 鬧鐘 ID。可透過執行連接器取得。 |
執行日期
這項操作不會對實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 發生錯誤時:「Failed to get details about AlienVault Anywhere alarm! Error is {}. action should fail." 動作通過: 「Successfully returned AlienVault Anywhere alarm {} details」(已成功傳回 AlienVault Anywhere 警報 {} 詳細資料) 當產品版本參數設為 V1 時: 「動作應會失敗,並顯示 V2 支援的明確訊息。」 |
一般 |
| CSV 表格 | 欄:
|
一般 |
列出事件
搜尋 AlienVault 事件。
參數
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 鬧鐘數量上限 | 字串 | 不適用 | 否 | 要傳回的鬧鐘數量上限。 |
| 帳戶名稱 | 字串 | 不適用 | 否 | 帳戶名稱。 |
| 事件名稱 | 字串 | 不適用 | 否 | 活動名稱。 |
| 開始時間 | 字串 | 不適用 | 否 | 篩選結果會包含這個時間戳記之後發生的事件。 格式:「%d/%m/%Y」 |
| 結束時間 | 字串 | 不適用 | 否 | 篩選結果會包含發生於這個時間戳記之前的事件。 格式:「%d/%m/%Y」 |
| 受限 | 核取方塊 | 不適用 | 否 | 是否要依據遭抑制的旗標篩選事件。 |
| 來源名稱 | 字串 | 不適用 | 否 | 來源名稱。 |
執行日期
這項操作不會對實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
{
"rep_device_fqdn": "192.0.2.30",
"sorce_name": "192.0.2.30",
"tag": "pdate-esp-kernelmodle.sh",
"timestamp_occred": "1596541223000",
"destination_address": "198.51.100.130",
"rep_dev_canonical": "192.0.2.30",
"destination_name": "198.51.100.130",
"received_from": "Centos7-001",
"timestamp_occred_iso8601": "2020-08-04T11:40:23.000Z",
"id": "f52dd545-ff14-5576-3b70-47f10f528f53",
"needs_enrichment": True,
"rep_device_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
"timestamp_received": "1596541223152",
"sorce_canonical": "256fa9b1-a066-c9eb-561a-c2110035978a",
"destination_fqdn": "198.51.100.130",
"_links": {
"self": {
"href": "URL"
}
},
"has_alarm": False,
"rep_device_address": "192.0.2.30",
"event_name": "pdate-esp-kernelmodle.sh event",
"sed_hint": False,
"transient": False,
"packet_type": "log",
"was_fzzied": True,
"sppressed": False,
"log": "<13>Ag 4 14:40:23 Centos7-001 pdate-esp-kernelmodle.sh: McAfeeESPFileAccess installed in this system is - 198.51.100.130",
"sorce_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
"timestamp_received_iso8601": "2020-08-04T11:40:23.152Z",
"destination_canonical": "198.51.100.130",
"time_offset": "Z"
}
案件總覽
| 結果類型 | 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 發生一般錯誤時:「Action didn't complete due to error: {error}」,結果值應設為 false,且動作應失敗。 如果動作順利完成:「Successfully returned {len(events)} AlienVault Anywhere events」(已成功傳回 {len(events)} 個 AlienVault Anywhere 事件) 如果動作無法執行:「Failed to list Endgame AlienVault Anywhere events!」 當產品版本參數設為 V1 時:「動作應會失敗,並顯示 V2 支援的明確訊息。」 |
一般 |
| CSV 表格 | 表格標題:活動 資料表資料欄:
值:
|
一般 |
乒乓
測試連線。
參數
不適用
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True 或 False | success:False |
連接器
如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。
AlienVault USM Anywhere 連接器
Google SecOps 會以近乎即時的方式從 LevelBlue USM Anywhere 擷取警報,並轉送為案件的快訊。
連接器參數
請使用下列參數設定連接器:
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 環境 | DDL | 不適用 | 是 | 選取所需環境。例如「Customer One」。 如果快訊的「環境」欄位空白,系統就會將快訊插入這個環境。 |
| 執行頻率 | 整數 | 0:0:0:10 | 否 | 選取執行連線的時間。 |
| 產品欄位名稱 | 字串 | device_product | 是 | 用來判斷裝置產品的欄位名稱。 |
| 事件欄位名稱 | 字串 | event_name | 是 | 決定事件名稱 (子類型) 的欄位名稱。 |
| 最多可回溯的天數 | 整數 | 1 | 是 | 在第一個連接器疊代之前,要擷取快訊的天數。
這個參數可套用至首次啟用連接器後的初始連接器疊代,或套用至過期連接器時間戳記的回溯值。 |
| 每個週期最多可發出的快訊數 | 整數 | 10 | 是 | 每個連接器週期中要擷取的警報數量上限。 限制每個週期內的快訊數量。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 否 | 如果選取這個選項,整合服務會在連線至 LevelBlue USM Anywhere 伺服器時驗證 SSL 憑證。 |
| 產品版本 | 字串 | V2 | 是 | AlienVault Anywhere 版本 - V1、V2。 |
| 密鑰 | 密碼 | 不適用 | 是 | 相應使用者的密碼。 |
| ClientID | 字串 | 不適用 | 是 | 使用者 ID。 |
| API 根目錄 | 字串 | 不適用 | 是 | 範例:https://<instance>.alienvault.com |
| 指令碼逾時 (秒) | 字串 | 60 | 是 | 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| 規則方法 | 字串 | 不適用 | 否 | 依規則方法篩選警報。這個方法會提供攻擊目標和特定安全漏洞的額外詳細資料。範例:Firefox - CVE-2008-4064 |
| 規則策略 | 字串 | 不適用 | 否 | 觸發警報的規則策略。舉例來說,如果攻擊者嘗試利用網頁瀏覽器中的已知安全漏洞,請使用「Client-Side Attack - Known Vulnerability」。 |
| 規則意圖 | 字串 | 不適用 | 否 | 依鬧鐘用途篩選鬧鐘。意圖說明觀察到的行為情境。威脅類別包括:系統遭入侵、漏洞利用和安裝、傳送和攻擊、偵查和探查、環境意識。 |
| 優先順序 | 字串 | 不適用 | 否 | 依警報優先順序篩選,以半形逗號分隔。有效值:高/中/低 |
| 使用已停用篩選器 | 核取方塊 | 已取消勾選 | 否 | 這個參數會用於判斷是否要使用「顯示已停用」篩選器,篩除傳入的快訊。 |
| 顯示受抑制的項目 | 核取方塊 | 已勾選 | 否 | 是否要在搜尋中納入已停用的警報。 |
| 緩衝期 | 整數 | 0 | 否 | 連接器執行的緩衝時間 (以小時為單位)。 |
AlienVault USM Anywhere 連接器有兩個參數,可根據警報的 suppressed 屬性,智慧篩選要擷取到 Google SecOps 的警報:
- 使用已停用篩選器:這個參數會決定是否使用
Show Suppressed篩選器篩選傳入的快訊。 顯示已停用:這個參數會決定是否要在搜尋中納入已停用的警報。這個連結器提供三種選項:
- 匯入所有 AV 警報,包括已停用和未停用的警報 - 清除兩個方塊。
- 只匯入 AV 系統中未停用的警報 - 選取
Use Suppressed Filter方塊並清除Show Suppressed方塊。 - 只匯入 AV 系統中已停用的警報,其他一律不匯入 - 選取
Use Suppressed Filter和Show Suppressed方塊。這是預設選項。
如要進一步瞭解 AlienVault 中的警報抑制功能,請參閱「從警報頁面建立抑制規則」。
連接器規則
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。