Intégrer l'appliance LevelBlue USM à Google SecOps
Ce document explique comment intégrer l'appliance LevelBlue Unified Security Management (USM) à Google Security Operations (Google SecOps).
Version de l'intégration : 21.0
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
| Description | Chaîne | N/A | Non | Description de l'instance. |
| Racine de l'API | Chaîne | https://<instance>.alienvault.com | Oui | Adresse de l'instance LevelBlue USM Appliance. |
| Nom d'utilisateur | Chaîne | N/A | Oui | Adresse e-mail de l'utilisateur pour se connecter à l'appliance LevelBlue USM. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe du compte utilisateur. |
| Exécuter à distance | Case à cocher | Décochée | Non | Sélectionnez le champ pour exécuter l'intégration configurée à distance. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.
Enrichir les composants
Récupérez les détails des ressources de l'appliance LevelBlue USM. Dans USM Appliance, un composant fonctionne sur le réseau de l'organisation en tant qu'équipement intégré, qui inclut une adresse IP exclusive. Un composant peut être un PC, une imprimante, un pare-feu, un routeur, un serveur ou plusieurs appareils autorisés par le réseau. Un asset est supervisé par au moins un capteur USM Appliance.
Paramètres
N/A
Date d'exécution
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| modèle | Renvoie la valeur si elle existe dans le résultat JSON. |
| descr | Renvoie la valeur si elle existe dans le résultat JSON. |
| nom d'hôte | Renvoie la valeur si elle existe dans le résultat JSON. |
| asset_type | Renvoie la valeur si elle existe dans le résultat JSON. |
| fqdn | Renvoie la valeur si elle existe dans le résultat JSON. |
| appareils | Renvoie la valeur si elle existe dans le résultat JSON. |
| asset_value | Renvoie la valeur si elle existe dans le résultat JSON. |
| ips | Renvoie la valeur si elle existe dans le résultat JSON. |
| id | Renvoie la valeur si elle existe dans le résultat JSON. |
| capteurs | Renvoie la valeur si elle existe dans le résultat JSON. |
| os | Renvoie la valeur si elle existe dans le résultat JSON. |
| réseaux | Renvoie la valeur si elle existe dans le résultat JSON. |
| icône | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai ou faux | success:False |
Résultat JSON
[
{
"EntityResult": {
"model": null,
"descr": " ",
"hostname": "Hostname",
"asset_type": "Internal",
"fqdn": " ",
"devices": [],
"asset_value": "2",
"ips": {
"3.3.3.3": {
"ip": "192.0.2.1",
"mac": "01:23:45:AB:CD:EF"
}},
"id": "123D37D595B800734550B9D9D6A958C6",
"sensors": {
"C221234962EA11E697DE0AF71A09DF3B": {
"ip": "192.0.2.1",
"ctxs": {
"C228355962EA11E697DE0AF71A09DF3B": "AlienVault"
},
"name": "DA"
}},
"os": "Linux",
"networks": {
"7E4B12EEFD06A21F898345C2AB46EB10": {
"ips": "192.0.2.1/24",
"ctx": "C228355962EA11E697DE0AF71A09DF3B",
"name": "Pvt_000"
}},
"icon": " "
},
"Entity": "example.com"
}
]
Enrichir les failles
Récupérez les informations sur les failles à partir de l'appliance LevelBlue USM. L'outil d'analyse des failles intégré au capteur USM Appliance peut détecter les failles dans les ressources critiques. Ces failles découvertes peuvent ensuite être utilisées dans les règles de corrélation croisée, l'application et les rapports d'audit.
Paramètres
N/A
Date d'exécution
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| AlientVault_Severity | Renvoie la valeur si elle existe dans le résultat JSON. |
| AlientVault_Service | Renvoie la valeur si elle existe dans le résultat JSON. |
| AlientVault_Vulnerability | Renvoie la valeur si elle existe dans le résultat JSON. |
| AlientVault_Scan Time | Renvoie la valeur si elle existe dans le résultat JSON. |
| AlientVault_Asset | Renvoie la valeur si elle existe dans le résultat JSON. |
| AlientVault_Id | Renvoie la valeur si elle existe dans le résultat JSON. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai ou faux | success:False |
Résultat JSON
[
{
"EntityResult": [{
"Severity": "High",
"Service": "general (0/tcp))",
"Vulnerability": "TCP Sequence Number Approximation Reset Denial of Service Vulnerability",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123456"
}, {
"Severity": "High",
"Service": "https (443/tcp)",
"Vulnerability": "robot(s).txt exists on the Web Server",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123457"
}, {
"Severity": "Medium",
"Service": "general (0/tcp))",
"Vulnerability": "TCP timestamps",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123458"
}],
"Entity": "test"
}
]
Récupérer les derniers fichiers PCAP
Récupérez les derniers fichiers PCAP depuis AlienVault.
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nombre de fichiers à récupérer | Chaîne | N/A | Exemple : 10 |
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Résultat JSON
[
{
"scan_name": "pcap_file_1545041396_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041397_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041398_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}
]
Obtenir des fichiers PCAP pour les événements
Obtenez des fichiers PCAP pour les événements d'une alerte.
Paramètres
N/A
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Résultat JSON
{
"#0-1B09DN3B0D2011E985730AS799BFE5BC": "obLD1AACAAQAAAAAAAAAAAAABdwAAAABV+kUZQAHyFMAAAXqAAAF6gr3GgnfOwobLz7Y6wgARQAF3Dd3QABnBvvXVduqw6wfLg8MmgG7xmc2dMr3EdxQEAD+OgAAABcDAwdVAAAAAAAAAASEw70Ys0kQbz8wdaj1lsHAAA=="
}
Obtenir des rapports sur les failles
Obtenez les fichiers de rapport sur les failles de l'environnement.
Paramètres
| Nom du paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Nombre de fichiers à récupérer | chaîne | N/A | Exemple : 10 |
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai ou faux | is_success:False |
Résultat JSON
[
{
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link":
"https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C228351E697DE071A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}
]
Ping
Tester la connectivité
Paramètres
N/A
Date d'exécution
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| success | Vrai ou faux | success:False |
Connecteurs
Pour en savoir plus sur la configuration des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).
Connecteur AlienVault USM Appliance
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Environnement | LDD | N/A | Oui | Sélectionnez l'environnement requis. Par exemple, "Client 1". Si le champ Environnement de l'alerte est vide, elle sera injectée dans cet environnement. |
| Exécuter chaque | Integer | 0:0:0:10 | Non | Sélectionnez l'heure à laquelle exécuter la connexion. |
| Nom du champ de produit | Chaîne | device_product | Oui | Nom du champ utilisé pour déterminer le produit de l'appareil. |
| Nom du champ d'événement | Chaîne | event_name | Oui | Nom du champ qui détermine le nom (sous-type) de l'événement. |
| Délai avant expiration du script (en secondes) | Chaîne | 60 | Oui | Délai limite, en secondes, pour le processus Python qui exécute le script actuel. |
| Racine de l'API | Chaîne | N/A | Oui | Adresse de l'instance LevelBlue USM Appliance, par exemple https://<instance>.alienvault.com |
| Nom d'utilisateur | Chaîne | N/A | Oui | Adresse e-mail de l'utilisateur. |
| Mot de passe | Mot de passe | N/A | Oui | Mot de passe de l'utilisateur correspondant. |
| Nombre maximal d'événements par alerte | Integer | 10 | Oui | Limite le nombre d'événements par alerte. |
| Nombre maximal de jours en arrière | Integer | 1 | Oui | Nombre de jours précédant la date actuelle pour récupérer les alertes.
Ce paramètre peut s'appliquer à l'itération initiale du connecteur après l'avoir activé pour la première fois, ou à la valeur de remplacement pour un code temporel de connecteur expiré. |
| Nombre maximal d'alertes par cycle | Integer | 10 | Oui | Nombre maximal d'alertes à extraire à chaque cycle de connecteur. Limite le nombre d'alertes dans chaque cycle. |
| Fuseau horaire du serveur | Chaîne | UTC | Oui | Fuseau horaire configuré dans l'instance AlienVault, par exemple UTC Asia/Jerusalem. |
| Nom du champ "Environnement" | Chaîne | N/A | Non | Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
Règles du connecteur
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.