Integra l'appliance LevelBlue USM con Google SecOps
Questo documento descrive come integrare l'appliance LevelBlue Unified Security Management (USM) con Google Security Operations (Google SecOps).
Versione integrazione: 21.0
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Radice API | Stringa | https://<instance>.alienvault.com | Sì | Indirizzo dell'istanza dell'appliance USM LevelBlue. |
| Nome utente | Stringa | N/D | Sì | L'indirizzo email dell'utente per la connessione all'appliance LevelBlue USM. |
| Password | Password | N/D | Sì | La password dell'account utente. |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Arricchisci gli asset
Recupera i dettagli degli asset dell'appliance LevelBlue USM. All'interno di USM Appliance, un asset opera sulla rete dell'organizzazione come apparecchiatura integrata, che include un indirizzo IP esclusivo. Un asset può essere un PC, una stampante, un firewall, un router, un server o più dispositivi consentiti dalla rete. Un asset è supervisionato da almeno un sensore USM Appliance.
Parametri
N/D
Pubblica su
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
| Nome del campo di arricchimento | Logica - Quando applicarla |
|---|---|
| modello | Restituisce se esiste nel risultato JSON |
| descr | Restituisce se esiste nel risultato JSON |
| nome host | Restituisce se esiste nel risultato JSON |
| asset_type | Restituisce se esiste nel risultato JSON |
| fqdn | Restituisce se esiste nel risultato JSON |
| dispositivi | Restituisce se esiste nel risultato JSON |
| asset_value | Restituisce se esiste nel risultato JSON |
| ips | Restituisce se esiste nel risultato JSON |
| id | Restituisce se esiste nel risultato JSON |
| sensori | Restituisce se esiste nel risultato JSON |
| os | Restituisce se esiste nel risultato JSON |
| reti | Restituisce se esiste nel risultato JSON |
| icona | Restituisce se esiste nel risultato JSON |
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| operazione riuscita | Vero o falso | success:False |
Risultato JSON
[
{
"EntityResult": {
"model": null,
"descr": " ",
"hostname": "Hostname",
"asset_type": "Internal",
"fqdn": " ",
"devices": [],
"asset_value": "2",
"ips": {
"3.3.3.3": {
"ip": "192.0.2.1",
"mac": "01:23:45:AB:CD:EF"
}},
"id": "123D37D595B800734550B9D9D6A958C6",
"sensors": {
"C221234962EA11E697DE0AF71A09DF3B": {
"ip": "192.0.2.1",
"ctxs": {
"C228355962EA11E697DE0AF71A09DF3B": "AlienVault"
},
"name": "DA"
}},
"os": "Linux",
"networks": {
"7E4B12EEFD06A21F898345C2AB46EB10": {
"ips": "192.0.2.1/24",
"ctx": "C228355962EA11E697DE0AF71A09DF3B",
"name": "Pvt_000"
}},
"icon": " "
},
"Entity": "example.com"
}
]
Arricchisci le vulnerabilità
Recupera le informazioni sulle vulnerabilità dall'appliance LevelBlue USM. Lo scanner delle vulnerabilità integrato sul sensore dell'appliance USM può rilevare vulnerabilità negli asset critici. Queste vulnerabilità scoperte possono essere utilizzate nelle regole di correlazione incrociata, nell'applicazione e nei report di controllo.
Parametri
N/D
Pubblica su
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Arricchimento delle entità
| Nome del campo di arricchimento | Logica - Quando applicarla |
|---|---|
| AlientVault_Severity | Restituisce se esiste nel risultato JSON |
| AlientVault_Service | Restituisce se esiste nel risultato JSON |
| AlientVault_Vulnerability | Restituisce se esiste nel risultato JSON |
| AlientVault_Scan Time | Restituisce se esiste nel risultato JSON |
| AlientVault_Asset | Restituisce se esiste nel risultato JSON |
| AlientVault_Id | Restituisce se esiste nel risultato JSON |
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| operazione riuscita | Vero o falso | success:False |
Risultato JSON
[
{
"EntityResult": [{
"Severity": "High",
"Service": "general (0/tcp))",
"Vulnerability": "TCP Sequence Number Approximation Reset Denial of Service Vulnerability",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123456"
}, {
"Severity": "High",
"Service": "https (443/tcp)",
"Vulnerability": "robot(s).txt exists on the Web Server",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123457"
}, {
"Severity": "Medium",
"Service": "general (0/tcp))",
"Vulnerability": "TCP timestamps",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123458"
}],
"Entity": "test"
}
]
Recupera gli ultimi file PCAP
Recupera gli ultimi file PCAP da AlienVault.
Parametri
| Nome parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Numero di file da recuperare | Stringa | N/D | Esempio: 10 |
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success:False |
Risultato JSON
[
{
"scan_name": "pcap_file_1545041396_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041397_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041398_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}
]
Ottenere file PCAP per gli eventi
Ottenere file PCAP per gli eventi in un avviso.
Parametri
N/D
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success:False |
Risultato JSON
{
"#0-1B09DN3B0D2011E985730AS799BFE5BC": "obLD1AACAAQAAAAAAAAAAAAABdwAAAABV+kUZQAHyFMAAAXqAAAF6gr3GgnfOwobLz7Y6wgARQAF3Dd3QABnBvvXVduqw6wfLg8MmgG7xmc2dMr3EdxQEAD+OgAAABcDAwdVAAAAAAAAAASEw70Ys0kQbz8wdaj1lsHAAA=="
}
Ottenere report sulle vulnerabilità
Recupera i file del report sulle vulnerabilità dell'ambiente.
Parametri
| Nome parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Numero di file da recuperare | string | N/D | Esempio: 10 |
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero o falso | is_success:False |
Risultato JSON
[
{
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link":
"https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C228351E697DE071A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}
]
Dindin
Testa la connettività.
Parametri
N/D
Pubblica su
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| operazione riuscita | Vero o falso | success:False |
Connettori
Per maggiori dettagli su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).
Connettore per appliance AlienVault USM
Utilizza i seguenti parametri per configurare il connettore:
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Ambiente | DDL | N/D | Sì | Seleziona l'ambiente richiesto. Ad esempio, "Cliente 1". Se il campo Ambiente dell'avviso è vuoto, l'avviso verrà inserito in questo ambiente. |
| Esegui ogni | Numero intero | 0:0:0:10 | No | Seleziona l'ora in cui eseguire la connessione. |
| Nome campo prodotto | Stringa | device_product | Sì | Il nome del campo utilizzato per determinare il prodotto del dispositivo. |
| Nome campo evento | Stringa | event_name | Sì | Il nome del campo che determina il nome (sottotipo) dell'evento. |
| Timeout dello script (secondi) | Stringa | 60 | Sì | Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente. |
| Radice API | Stringa | N/D | Sì | Indirizzo dell'istanza dell'appliance USM LevelBlue, ad esempio https://<instance>.alienvault.com |
| Nome utente | Stringa | N/D | Sì | Email dell'utente. |
| Password | Password | N/D | Sì | La password dell'utente corrispondente. |
| Numero massimo di eventi per avviso | Numero intero | 10 | Sì | Limita il numero di eventi per avviso. |
| Max Days Backwards | Numero intero | 1 | Sì | Il numero di giorni precedenti a oggi per recuperare gli avvisi.
Questo parametro può essere applicato all'iterazione iniziale del connettore dopo l'attivazione del connettore per la prima volta o al valore di riserva per un timestamp del connettore scaduto. |
| Numero massimo di avvisi per ciclo | Numero intero | 10 | Sì | Il numero massimo di avvisi da recuperare in ogni ciclo del connettore. Limita il numero di avvisi in ogni ciclo. |
| Fuso orario del server | Stringa | UTC | Sì | Il fuso orario configurato nell'istanza AlienVault, ad esempio
UTC Asia/Jerusalem. |
| Nome campo ambiente | Stringa | N/D | No | Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non è presente, il connettore utilizza il valore predefinito. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
Regole del connettore
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.