LevelBlue USM Appliance を Google SecOps と統合する
このドキュメントでは、LevelBlue Unified Security Management(USM)アプライアンスを Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 21.0
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API ルート | 文字列 | https://<instance>.alienvault.com | ○ | LevelBlue USM Appliance インスタンスのアドレス。 |
| ユーザー名 | 文字列 | なし | ○ | LevelBlue USM Appliance に接続するためのユーザーのメールアドレス。 |
| パスワード | パスワード | なし | ○ | ユーザー アカウントのパスワード。 |
| リモートで実行 | チェックボックス | オフ | × | 構成した統合をリモートで実行するフィールドを選択します。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
アセットを拡充する
LevelBlue USM Appliance アセットの詳細を取得します。USM Appliance 内では、アセットは組織のネットワーク上で、専用の IP アドレスを含む統合された機器として動作します。アセットは、PC、プリンタ、ファイアウォール、ルーター、サーバー、またはネットワークで許可されている複数のデバイスにすることができます。アセットは 1 つ以上の USM Appliance Sensor によって監視されています。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| モデル | JSON の結果に存在する場合に返す |
| descr | JSON の結果に存在する場合に返す |
| hostname | JSON の結果に存在する場合に返す |
| asset_type | JSON の結果に存在する場合に返す |
| fqdn | JSON の結果に存在する場合に返す |
| ダウンロードすることや、 | JSON の結果に存在する場合に返す |
| asset_value | JSON の結果に存在する場合に返す |
| ips | JSON の結果に存在する場合に返す |
| id | JSON の結果に存在する場合に返す |
| sensors | JSON の結果に存在する場合に返す |
| os | JSON の結果に存在する場合に返す |
| ネットワーク | JSON の結果に存在する場合に返す |
| アイコン | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| 成功 | 正誤問題 | success:False |
JSON の結果
[
{
"EntityResult": {
"model": null,
"descr": " ",
"hostname": "Hostname",
"asset_type": "Internal",
"fqdn": " ",
"devices": [],
"asset_value": "2",
"ips": {
"3.3.3.3": {
"ip": "192.0.2.1",
"mac": "01:23:45:AB:CD:EF"
}},
"id": "123D37D595B800734550B9D9D6A958C6",
"sensors": {
"C221234962EA11E697DE0AF71A09DF3B": {
"ip": "192.0.2.1",
"ctxs": {
"C228355962EA11E697DE0AF71A09DF3B": "AlienVault"
},
"name": "DA"
}},
"os": "Linux",
"networks": {
"7E4B12EEFD06A21F898345C2AB46EB10": {
"ips": "192.0.2.1/24",
"ctx": "C228355962EA11E697DE0AF71A09DF3B",
"name": "Pvt_000"
}},
"icon": " "
},
"Entity": "example.com"
}
]
脆弱性を拡充する
LevelBlue USM Appliance から脆弱性情報を取得します。USM Appliance Sensor の統合脆弱性スキャナは、重要なアセットの脆弱性を検出できます。検出された脆弱性は、相互相関ルール、適用、監査レポートで使用できます。
パラメータ
なし
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| AlientVault_Severity | JSON の結果に存在する場合に返す |
| AlientVault_Service | JSON の結果に存在する場合に返す |
| AlientVault_Vulnerability | JSON の結果に存在する場合に返す |
| AlientVault_Scan Time | JSON の結果に存在する場合に返す |
| AlientVault_Asset | JSON の結果に存在する場合に返す |
| AlientVault_Id | JSON の結果に存在する場合に返す |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| 成功 | 正誤問題 | success:False |
JSON の結果
[
{
"EntityResult": [{
"Severity": "High",
"Service": "general (0/tcp))",
"Vulnerability": "TCP Sequence Number Approximation Reset Denial of Service Vulnerability",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123456"
}, {
"Severity": "High",
"Service": "https (443/tcp)",
"Vulnerability": "robot(s).txt exists on the Web Server",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123457"
}, {
"Severity": "Medium",
"Service": "general (0/tcp))",
"Vulnerability": "TCP timestamps",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123458"
}],
"Entity": "test"
}
]
最後の PCAP ファイルを取得する
AlienVault から最新の PCAP ファイルを取得します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| 取得するファイル数 | 文字列 | なし | 例: 10 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
JSON の結果
[
{
"scan_name": "pcap_file_1545041396_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041397_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041398_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}
]
イベントの PCAP ファイルを取得する
アラートのイベントの PCAP ファイルを取得します。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
JSON の結果
{
"#0-1B09DN3B0D2011E985730AS799BFE5BC": "obLD1AACAAQAAAAAAAAAAAAABdwAAAABV+kUZQAHyFMAAAXqAAAF6gr3GgnfOwobLz7Y6wgARQAF3Dd3QABnBvvXVduqw6wfLg8MmgG7xmc2dMr3EdxQEAD+OgAAABcDAwdVAAAAAAAAAASEw70Ys0kQbz8wdaj1lsHAAA=="
}
脆弱性レポートを取得する
環境の脆弱性レポート ファイルを取得します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| 取得するファイル数 | 文字列 | なし | 例: 10 |
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | 正誤問題 | is_success:False |
JSON の結果
[
{
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link":
"https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C228351E697DE071A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}
]
Ping
接続をテストする。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| 成功 | 正誤問題 | success:False |
コネクタ
Google SecOps でコネクタを構成する方法については、データを取り込む(コネクタ)をご覧ください。
AlienVault USM アプライアンス コネクタ
次のパラメータを使用してコネクタを構成します。
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 環境 | DDL | なし | ○ | 必要な環境を選択します。(例: 「Customer One」)。 アラートの [環境] フィールドが空の場合、この環境に挿入されます。 |
| 実行間隔 | 整数 | 0:0:0:10 | いいえ | 接続を実行する時間を選択します。 |
| プロダクト フィールド名 | 文字列 | device_product | ○ | デバイス プロダクトを特定するために使用されるフィールド名。 |
| イベント フィールド名 | 文字列 | event_name | ○ | イベント名(サブタイプ)を特定するフィールドの名前。 |
| スクリプトのタイムアウト(秒) | 文字列 | 60 | ○ | 現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。 |
| API ルート | 文字列 | なし | ○ | LevelBlue USM Appliance インスタンスのアドレス(https://<instance>.alienvault.com など) |
| ユーザー名 | 文字列 | なし | ○ | ユーザーのメールアドレス。 |
| パスワード | パスワード | なし | ○ | 対応するユーザーのパスワード。 |
| アラートあたりの最大イベント数 | Integer | 10 | ○ | アラートあたりのイベント数を制限します。 |
| 遡る最大日数 | 整数 | 1 | ○ | アラートを取得する今日までの日数。 このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーション、または期限切れのコネクタ タイムスタンプのフォールバック値に適用できます。 |
| 1 サイクルあたりのアラートの最大数 | Integer | 10 | ○ | コネクタの各サイクルで取得するアラートの最大数。 各サイクルのアラート数を制限します。 |
| サーバー タイムゾーン | 文字列 | UTC | ○ | AlienVault インスタンスで構成されているタイムゾーン(UTC Asia/Jerusalem など)。 |
| 環境フィールド名 | 文字列 | なし | × | 環境名が保存されるフィールドの名前。 環境フィールドがない場合、コネクタはデフォルト値を使用します。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
コネクタルール
コネクタはプロキシをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。