LevelBlue USM Appliance in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie die LevelBlue Unified Security Management (USM) Appliance in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 21.0
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| API-Stamm | String | https://<instance>.alienvault.com | Ja | Adresse der LevelBlue USM Appliance-Instanz. |
| Nutzername | String | – | Ja | Die E-Mail-Adresse des Nutzers für die Verbindung zur LevelBlue USM Appliance. |
| Passwort | Passwort | – | Ja | Das Passwort des Nutzerkontos. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Wählen Sie das Feld aus, um die konfigurierte Integration per Fernzugriff auszuführen. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Assets anreichern
Asset-Details für die USM Appliance von LevelBlue abrufen. In USM Appliance ist ein Asset ein integriertes Gerät im Netzwerk der Organisation, das eine exklusive IP-Adresse hat. Ein Asset kann ein PC, ein Drucker, eine Firewall, ein Router, ein Server oder mehrere Geräte sein, die vom Netzwerk zugelassen werden. Ein Asset wird von mindestens einem USM Appliance-Sensor überwacht.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Modell | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| descr | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Hostname | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| asset_type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| fqdn | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Geräte | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| asset_value | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ips | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Sensoren | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| os | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Netzwerke | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Symbol | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | True oder False | success:False |
JSON-Ergebnis
[
{
"EntityResult": {
"model": null,
"descr": " ",
"hostname": "Hostname",
"asset_type": "Internal",
"fqdn": " ",
"devices": [],
"asset_value": "2",
"ips": {
"3.3.3.3": {
"ip": "192.0.2.1",
"mac": "01:23:45:AB:CD:EF"
}},
"id": "123D37D595B800734550B9D9D6A958C6",
"sensors": {
"C221234962EA11E697DE0AF71A09DF3B": {
"ip": "192.0.2.1",
"ctxs": {
"C228355962EA11E697DE0AF71A09DF3B": "AlienVault"
},
"name": "DA"
}},
"os": "Linux",
"networks": {
"7E4B12EEFD06A21F898345C2AB46EB10": {
"ips": "192.0.2.1/24",
"ctx": "C228355962EA11E697DE0AF71A09DF3B",
"name": "Pvt_000"
}},
"icon": " "
},
"Entity": "example.com"
}
]
Sicherheitslücken anreichern
Rufen Sie Informationen zu Sicherheitslücken von der LevelBlue USM-Appliance ab. Der integrierte Scanner für Sicherheitslücken auf dem USM Appliance Sensor kann Sicherheitslücken in kritischen Assets erkennen. Diese aufgedeckten Sicherheitslücken können dann in Regeln für die Kreuzkorrelation, in der Durchsetzung und in Auditberichten verwendet werden.
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| AlientVault_Severity | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| AlientVault_Service | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| AlientVault_Vulnerability | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| AlientVault_Scan Time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| AlientVault_Asset | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| AlientVault_Id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | True oder False | success:False |
JSON-Ergebnis
[
{
"EntityResult": [{
"Severity": "High",
"Service": "general (0/tcp))",
"Vulnerability": "TCP Sequence Number Approximation Reset Denial of Service Vulnerability",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123456"
}, {
"Severity": "High",
"Service": "https (443/tcp)",
"Vulnerability": "robot(s).txt exists on the Web Server",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123457"
}, {
"Severity": "Medium",
"Service": "general (0/tcp))",
"Vulnerability": "TCP timestamps",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123458"
}],
"Entity": "test"
}
]
Letzte PCAP-Dateien abrufen
Rufen Sie die letzten PCAP-Dateien von AlienVault ab.
Parameter
| Parametername | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Anzahl der abzurufenden Dateien | String | – | Beispiel: 10 |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success:False |
JSON-Ergebnis
[
{
"scan_name": "pcap_file_1545041396_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041397_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041398_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}
]
PCAP-Dateien für Ereignisse abrufen
PCAP-Dateien für Ereignisse in einer Benachrichtigung abrufen
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success:False |
JSON-Ergebnis
{
"#0-1B09DN3B0D2011E985730AS799BFE5BC": "obLD1AACAAQAAAAAAAAAAAAABdwAAAABV+kUZQAHyFMAAAXqAAAF6gr3GgnfOwobLz7Y6wgARQAF3Dd3QABnBvvXVduqw6wfLg8MmgG7xmc2dMr3EdxQEAD+OgAAABcDAwdVAAAAAAAAAASEw70Ys0kQbz8wdaj1lsHAAA=="
}
Berichte zu Sicherheitslücken abrufen
Dateien mit Berichten zu Sicherheitslücken in der Umgebung abrufen.
Parameter
| Parametername | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Anzahl der abzurufenden Dateien | String | – | Beispiel: 10 |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | True oder False | is_success:False |
JSON-Ergebnis
[
{
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link":
"https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C228351E697DE071A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}
]
Ping
Verbindung testen
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | True oder False | success:False |
Connectors
Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).
AlienVault USM Appliance Connector
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Umgebung | DDL | – | Ja | Wählen Sie die gewünschte Umgebung aus. Beispiel: „Kunde 1“. Wenn das Feld Umgebung der Benachrichtigung leer ist, wird sie in diese Umgebung eingefügt. |
| Ausführung alle | Ganzzahl | 0:0:0:10 | Nein | Wählen Sie die Uhrzeit aus, zu der die Verbindung hergestellt werden soll. |
| Produktfeldname | String | device_product | Ja | Der Feldname, der zur Bestimmung des Geräteprodukts verwendet wird. |
| Name des Ereignisfelds | String | event_name | Ja | Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt. |
| Zeitlimit für Script (Sekunden) | String | 60 | Ja | Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. |
| API-Stamm | String | – | Ja | Adresse der LevelBlue USM Appliance-Instanz, z. B. https://<instance>.alienvault.com |
| Nutzername | String | – | Ja | E‑Mail-Adresse des Nutzers. |
| Passwort | Passwort | – | Ja | Das Passwort des entsprechenden Nutzers. |
| Maximale Anzahl von Ereignissen pro Benachrichtigung | Ganzzahl | 10 | Ja | Begrenzt die Anzahl der Ereignisse pro Benachrichtigung. |
| Max. Tage rückwärts | Ganzzahl | 1 | Ja | Die Anzahl der Tage vor dem heutigen Tag, für die Benachrichtigungen abgerufen werden sollen.
Dieser Parameter kann für die erste Connector-Iteration nach der erstmaligen Aktivierung des Connectors oder als Fallback-Wert für einen abgelaufenen Connector-Zeitstempel gelten. |
| Maximale Anzahl an Benachrichtigungen pro Zyklus | Ganzzahl | 10 | Ja | Die maximale Anzahl von Benachrichtigungen, die in jedem Connector-Zyklus abgerufen werden sollen. Begrenzt die Anzahl der Benachrichtigungen in jedem Zyklus. |
| Serverzeitzone | String | UTC | Ja | Die in der AlienVault-Instanz konfigurierte Zeitzone, z. B. UTC Asia/Jerusalem. |
| Name des Umgebungsfelds | String | – | Nein | Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
Connector-Regeln
Der Connector unterstützt Proxy.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten