LevelBlue USM Appliance와 Google SecOps 통합
이 문서에서는 LevelBlue 통합 보안 관리(USM) 어플라이언스를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.
통합 버전: 21.0
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| API 루트 | 문자열 | https://<instance>.alienvault.com | 예 | LevelBlue USM Appliance 인스턴스의 주소입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | LevelBlue USM 어플라이언스에 연결하는 데 사용되는 사용자의 이메일 주소입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | 사용자 계정의 비밀번호입니다. |
| 원격 실행 | 체크박스 | 선택 해제 | 아니요 | 구성된 통합을 원격으로 실행할 필드를 선택합니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.
작업
작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.
애셋 보강
LevelBlue USM 어플라이언스 애셋 세부정보를 가져옵니다. USM 어플라이언스 내에서 애셋은 독점 IP 주소를 포함하는 통합 장비로 조직의 네트워크에서 작동합니다. 애셋은 PC, 프린터, 방화벽, 라우터, 서버 또는 네트워크에서 허용하는 여러 기기일 수 있습니다. 애셋이 하나 이상의 USM 어플라이언스 센서에 의해 모니터링됩니다.
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 모델 | JSON 결과에 존재하는 경우에 반환 |
| descr | JSON 결과에 존재하는 경우에 반환 |
| 호스트 이름 | JSON 결과에 존재하는 경우에 반환 |
| asset_type | JSON 결과에 존재하는 경우에 반환 |
| fqdn | JSON 결과에 존재하는 경우에 반환 |
| 기기 | JSON 결과에 존재하는 경우에 반환 |
| asset_value | JSON 결과에 존재하는 경우에 반환 |
| ips | JSON 결과에 존재하는 경우에 반환 |
| id | JSON 결과에 존재하는 경우에 반환 |
| sensors | JSON 결과에 존재하는 경우에 반환 |
| os | JSON 결과에 존재하는 경우에 반환 |
| 네트워크 | JSON 결과에 존재하는 경우에 반환 |
| 아이콘 | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 성공 | True 또는 False | success:False |
JSON 결과
[
{
"EntityResult": {
"model": null,
"descr": " ",
"hostname": "Hostname",
"asset_type": "Internal",
"fqdn": " ",
"devices": [],
"asset_value": "2",
"ips": {
"3.3.3.3": {
"ip": "192.0.2.1",
"mac": "01:23:45:AB:CD:EF"
}},
"id": "123D37D595B800734550B9D9D6A958C6",
"sensors": {
"C221234962EA11E697DE0AF71A09DF3B": {
"ip": "192.0.2.1",
"ctxs": {
"C228355962EA11E697DE0AF71A09DF3B": "AlienVault"
},
"name": "DA"
}},
"os": "Linux",
"networks": {
"7E4B12EEFD06A21F898345C2AB46EB10": {
"ips": "192.0.2.1/24",
"ctx": "C228355962EA11E697DE0AF71A09DF3B",
"name": "Pvt_000"
}},
"icon": " "
},
"Entity": "example.com"
}
]
취약점 보강
LevelBlue USM 어플라이언스에서 취약점 정보를 가져옵니다. USM 어플라이언스 센서의 통합 취약점 스캐너는 중요 자산의 취약점을 감지할 수 있습니다. 발견된 이러한 취약점은 교차 상관관계 규칙, 시행, 감사 보고에 사용할 수 있습니다.
매개변수
해당 사항 없음
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| AlientVault_Severity | JSON 결과에 존재하는 경우에 반환 |
| AlientVault_Service | JSON 결과에 존재하는 경우에 반환 |
| AlientVault_Vulnerability | JSON 결과에 존재하는 경우에 반환 |
| AlientVault_Scan Time | JSON 결과에 존재하는 경우에 반환 |
| AlientVault_Asset | JSON 결과에 존재하는 경우에 반환 |
| AlientVault_Id | JSON 결과에 존재하는 경우에 반환 |
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 성공 | True 또는 False | success:False |
JSON 결과
[
{
"EntityResult": [{
"Severity": "High",
"Service": "general (0/tcp))",
"Vulnerability": "TCP Sequence Number Approximation Reset Denial of Service Vulnerability",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123456"
}, {
"Severity": "High",
"Service": "https (443/tcp)",
"Vulnerability": "robot(s).txt exists on the Web Server",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123457"
}, {
"Severity": "Medium",
"Service": "general (0/tcp))",
"Vulnerability": "TCP timestamps",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123458"
}],
"Entity": "test"
}
]
마지막 PCAP 파일 가져오기
AlienVault에서 마지막 PCAP 파일을 가져옵니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 가져올 파일 수 | 문자열 | 해당 사항 없음 | 예: 10 |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
JSON 결과
[
{
"scan_name": "pcap_file_1545041396_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041397_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041398_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}
]
이벤트의 PCAP 파일 가져오기
알림의 이벤트에 대한 PCAP 파일을 가져옵니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
JSON 결과
{
"#0-1B09DN3B0D2011E985730AS799BFE5BC": "obLD1AACAAQAAAAAAAAAAAAABdwAAAABV+kUZQAHyFMAAAXqAAAF6gr3GgnfOwobLz7Y6wgARQAF3Dd3QABnBvvXVduqw6wfLg8MmgG7xmc2dMr3EdxQEAD+OgAAABcDAwdVAAAAAAAAAASEw70Ys0kQbz8wdaj1lsHAAA=="
}
취약점 보고서 가져오기
환경 취약점 보고서 파일을 가져옵니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 설명 |
|---|---|---|---|
| 가져올 파일 수 | 문자열 | 해당 사항 없음 | 예: 10 |
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True 또는 False | is_success:False |
JSON 결과
[
{
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link":
"https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C228351E697DE071A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}
]
핑
연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| 성공 | True 또는 False | success:False |
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 관한 자세한 내용은 데이터 수집 (커넥터)을 참고하세요.
AlienVault USM Appliance Connector
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 환경 | DDL | 해당 사항 없음 | 예 | 필요한 환경을 선택합니다. 예: '고객 1' 알림의 환경 필드가 비어 있으면 이 환경에 삽입됩니다. |
| 실행 빈도 | 정수 | 0:0:0:10 | 아니요 | 연결을 실행할 시간을 선택합니다. |
| 제품 필드 이름 | 문자열 | device_product | 예 | 기기 제품을 확인하는 데 사용되는 필드 이름입니다. |
| 이벤트 필드 이름 | 문자열 | event_name | 예 | 이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다. |
| 스크립트 제한 시간(초) | 문자열 | 60 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. |
| API 루트 | 문자열 | 해당 사항 없음 | 예 | LevelBlue USM 어플라이언스 인스턴스의 주소(예: https://<instance>.alienvault.com) |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | 사용자의 이메일입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | 해당 사용자의 비밀번호입니다. |
| 알림당 최대 이벤트 수 | 정수 | 10 | 예 | 알림당 이벤트 수를 제한합니다. |
| 최대 이전 일수 | 정수 | 1 | 예 | 오늘 이전의 알림을 가져올 일수입니다.
이 매개변수는 커넥터를 처음 사용 설정한 후의 초기 커넥터 반복 또는 만료된 커넥터 타임스탬프의 대체 값에 적용될 수 있습니다. |
| 주기당 최대 알림 수 | 정수 | 10 | 예 | 커넥터 주기마다 가져올 최대 알림 수입니다. 모든 주기에서 알림 수를 제한합니다. |
| 서버 시간대 | 문자열 | UTC | 예 | AlienVault 인스턴스에 구성된 시간대입니다(예: UTC Asia/Jerusalem). |
| 환경 필드 이름 | 문자열 | 해당 사항 없음 | 아니요 | 환경 이름이 저장된 필드의 이름입니다. 환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
커넥터 규칙
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.