Mengintegrasikan LevelBlue USM Appliance dengan Google SecOps
Dokumen ini menjelaskan cara mengintegrasikan LevelBlue Unified Security Management (USM) Appliance dengan Google Security Operations (Google SecOps).
Versi integrasi: 21.0
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama parameter | Jenis | Nilai default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| Root API | String | https://<instance>.alienvault.com | Ya | Alamat instance LevelBlue USM Appliance. |
| Nama pengguna | String | T/A | Ya | Alamat email pengguna untuk terhubung ke LevelBlue USM Appliance. |
| Sandi | Sandi | T/A | Ya | Sandi akun pengguna. |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Pilih kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.
Memperkaya Aset
Mengambil detail aset Appliance USM LevelBlue. Dalam USM Appliance, aset beroperasi di jaringan organisasi sebagai peralatan terintegrasi, yang mencakup alamat IP eksklusif. Aset dapat berupa PC, printer, firewall, router, server, atau beberapa perangkat yang diizinkan oleh jaringan. Aset diawasi oleh minimal satu Sensor Peralatan USM.
Parameter
T/A
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil tindakan
Pengayaan entitas
| Nama kolom pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| model | Menampilkan apakah ada di hasil JSON |
| descr | Menampilkan apakah ada di hasil JSON |
| hostname | Menampilkan apakah ada di hasil JSON |
| asset_type | Menampilkan apakah ada di hasil JSON |
| fqdn | Menampilkan apakah ada di hasil JSON |
| perangkat | Menampilkan apakah ada di hasil JSON |
| asset_value | Menampilkan apakah ada di hasil JSON |
| ips | Menampilkan apakah ada di hasil JSON |
| id | Menampilkan apakah ada di hasil JSON |
| sensor | Menampilkan apakah ada di hasil JSON |
| os | Menampilkan apakah ada di hasil JSON |
| networks | Menampilkan apakah ada di hasil JSON |
| ikon | Menampilkan apakah ada di hasil JSON |
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| berhasil | Benar atau Salah | success:False |
Hasil JSON
[
{
"EntityResult": {
"model": null,
"descr": " ",
"hostname": "Hostname",
"asset_type": "Internal",
"fqdn": " ",
"devices": [],
"asset_value": "2",
"ips": {
"3.3.3.3": {
"ip": "192.0.2.1",
"mac": "01:23:45:AB:CD:EF"
}},
"id": "123D37D595B800734550B9D9D6A958C6",
"sensors": {
"C221234962EA11E697DE0AF71A09DF3B": {
"ip": "192.0.2.1",
"ctxs": {
"C228355962EA11E697DE0AF71A09DF3B": "AlienVault"
},
"name": "DA"
}},
"os": "Linux",
"networks": {
"7E4B12EEFD06A21F898345C2AB46EB10": {
"ips": "192.0.2.1/24",
"ctx": "C228355962EA11E697DE0AF71A09DF3B",
"name": "Pvt_000"
}},
"icon": " "
},
"Entity": "example.com"
}
]
Memperkaya Kerentanan
Mengambil informasi kerentanan dari LevelBlue USM Appliance. Pemindai kerentanan terintegrasi di Sensor Appliance USM dapat mendeteksi kerentanan dalam aset penting. Kerentanan yang ditemukan ini kemudian dapat digunakan dalam aturan korelasi silang, penegakan, dan pelaporan audit.
Parameter
T/A
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil tindakan
Pengayaan entitas
| Nama kolom pengayaan | Logika - Kapan harus diterapkan |
|---|---|
| AlientVault_Severity | Menampilkan apakah ada di hasil JSON |
| AlientVault_Service | Menampilkan apakah ada di hasil JSON |
| AlientVault_Vulnerability | Menampilkan apakah ada di hasil JSON |
| Waktu AlientVault_Scan | Menampilkan apakah ada di hasil JSON |
| AlientVault_Asset | Menampilkan apakah ada di hasil JSON |
| AlientVault_Id | Menampilkan apakah ada di hasil JSON |
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| berhasil | Benar atau Salah | success:False |
Hasil JSON
[
{
"EntityResult": [{
"Severity": "High",
"Service": "general (0/tcp))",
"Vulnerability": "TCP Sequence Number Approximation Reset Denial of Service Vulnerability",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123456"
}, {
"Severity": "High",
"Service": "https (443/tcp)",
"Vulnerability": "robot(s).txt exists on the Web Server",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123457"
}, {
"Severity": "Medium",
"Service": "general (0/tcp))",
"Vulnerability": "TCP timestamps",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123458"
}],
"Entity": "test"
}
]
Mengambil File PCAP Terakhir
Ambil file PCAP terakhir dari AlienVault.
Parameter
| Nama parameter | Jenis | Nilai default | Deskripsi |
|---|---|---|---|
| Jumlah File yang Akan Diambil | String | T/A | Contoh: 10 |
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar atau Salah | is_success:False |
Hasil JSON
[
{
"scan_name": "pcap_file_1545041396_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041397_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041398_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}
]
Mendapatkan File PCAP untuk Acara
Mendapatkan file PCAP untuk peristiwa dalam pemberitahuan.
Parameter
T/A
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar atau Salah | is_success:False |
Hasil JSON
{
"#0-1B09DN3B0D2011E985730AS799BFE5BC": "obLD1AACAAQAAAAAAAAAAAAABdwAAAABV+kUZQAHyFMAAAXqAAAF6gr3GgnfOwobLz7Y6wgARQAF3Dd3QABnBvvXVduqw6wfLg8MmgG7xmc2dMr3EdxQEAD+OgAAABcDAwdVAAAAAAAAAASEw70Ys0kQbz8wdaj1lsHAAA=="
}
Mendapatkan Laporan Kerentanan
Mendapatkan file laporan kerentanan lingkungan.
Parameter
| Nama parameter | Jenis | Nilai default | Deskripsi |
|---|---|---|---|
| Jumlah File yang Akan Diambil | string | T/A | Contoh: 10 |
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar atau Salah | is_success:False |
Hasil JSON
[
{
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link":
"https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C228351E697DE071A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}
]
Ping
Uji konektivitas.
Parameter
T/A
Dijalankan pada
Tindakan ini dijalankan di semua entity.
Hasil tindakan
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| berhasil | Benar atau Salah | success:False |
Konektor
Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).
Konektor Appliance USM AlienVault
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama parameter | Jenis | Nilai default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Lingkungan | DDL | T/A | Ya | Pilih lingkungan yang diperlukan. Misalnya, "Pelanggan Satu". Jika kolom Lingkungan pemberitahuan kosong, pemberitahuan akan dimasukkan ke lingkungan ini. |
| Jalankan Setiap | Bilangan bulat | 0:0:0:10 | Tidak | Pilih waktu untuk menjalankan koneksi. |
| Nama Kolom Produk | String | device_product | Ya | Nama kolom yang digunakan untuk menentukan produk perangkat. |
| Nama Kolom Peristiwa | String | event_name | Ya | Nama kolom yang menentukan nama peristiwa (subjenis). |
| Waktu Tunggu Skrip (Detik) | String | 60 | Ya | Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini. |
| Root API | String | T/A | Ya | Alamat instance LevelBlue USM Appliance, seperti https://<instance>.alienvault.com |
| Nama pengguna | String | T/A | Ya | Email pengguna. |
| Sandi | Sandi | T/A | Ya | Sandi pengguna yang sesuai. |
| Jumlah Maksimum Peristiwa Per Pemberitahuan | Bilangan bulat | 10 | Ya | Membatasi jumlah peristiwa per pemberitahuan. |
| Maksimum Hari Mundur | Bilangan bulat | 1 | Ya | Jumlah hari sebelum hari ini untuk mengambil pemberitahuan.
Parameter ini dapat berlaku untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya, atau nilai penggantian untuk stempel waktu konektor yang telah berakhir. |
| Jumlah Maksimum Pemberitahuan Per Siklus | Bilangan bulat | 10 | Ya | Jumlah maksimum pemberitahuan yang akan diambil di setiap siklus konektor. Membatasi jumlah pemberitahuan dalam setiap siklus. |
| Zona Waktu Server | String | UTC | Ya | Zona waktu yang dikonfigurasi di instance AlienVault, seperti
UTC Asia/Jerusalem. |
| Nama Kolom Lingkungan | String | T/A | Tidak | Nama kolom tempat nama lingkungan disimpan. Jika kolom environment tidak ada, konektor akan menggunakan nilai default. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
Aturan konektor
Konektor mendukung Proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.