Integrar o appliance USM da LevelBlue ao Google SecOps
Este documento descreve como integrar o appliance de gerenciamento unificado de segurança (USM, na sigla em inglês) da LevelBlue ao Google Security Operations (Google SecOps).
Versão da integração: 21.0
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://<instance>.alienvault.com | Sim | Endereço da instância do appliance USM da LevelBlue. |
| Nome de usuário | String | N/A | Sim | O endereço de e-mail do usuário para se conectar ao dispositivo USM da LevelBlue. |
| Senha | Senha | N/A | Sim | A senha da conta de usuário. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Enriquecer recursos
Recupera detalhes do recurso do appliance USM LevelBlue. No USM Appliance, um recurso opera na rede da organização como um equipamento integrado, que inclui um endereço IP exclusivo. Um recurso pode ser um PC, uma impressora, um firewall, um roteador, um servidor ou vários dispositivos permitidos pela rede. Um recurso é supervisionado por pelo menos um sensor do USM Appliance.
Parâmetros
N/A
Data de execução
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidade
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| modelo | Retorna se ele existe no resultado JSON |
| descr | Retorna se ele existe no resultado JSON |
| nome do host | Retorna se ele existe no resultado JSON |
| asset_type | Retorna se ele existe no resultado JSON |
| fqdn | Retorna se ele existe no resultado JSON |
| dispositivos | Retorna se ele existe no resultado JSON |
| asset_value | Retorna se ele existe no resultado JSON |
| IPs | Retorna se ele existe no resultado JSON |
| ID | Retorna se ele existe no resultado JSON |
| sensores | Retorna se ele existe no resultado JSON |
| os | Retorna se ele existe no resultado JSON |
| redes | Retorna se ele existe no resultado JSON |
| ícone | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | True ou false | success:False |
Resultado JSON
[
{
"EntityResult": {
"model": null,
"descr": " ",
"hostname": "Hostname",
"asset_type": "Internal",
"fqdn": " ",
"devices": [],
"asset_value": "2",
"ips": {
"3.3.3.3": {
"ip": "192.0.2.1",
"mac": "01:23:45:AB:CD:EF"
}},
"id": "123D37D595B800734550B9D9D6A958C6",
"sensors": {
"C221234962EA11E697DE0AF71A09DF3B": {
"ip": "192.0.2.1",
"ctxs": {
"C228355962EA11E697DE0AF71A09DF3B": "AlienVault"
},
"name": "DA"
}},
"os": "Linux",
"networks": {
"7E4B12EEFD06A21F898345C2AB46EB10": {
"ips": "192.0.2.1/24",
"ctx": "C228355962EA11E697DE0AF71A09DF3B",
"name": "Pvt_000"
}},
"icon": " "
},
"Entity": "example.com"
}
]
Enriquecer vulnerabilidades
Recupere informações de vulnerabilidade do LevelBlue USM Appliance. O verificador de vulnerabilidades integrado no sensor do USM Appliance pode detectar vulnerabilidades em ativos críticos. Essas vulnerabilidades descobertas podem ser usadas em regras de correlação cruzada, aplicação e relatórios de auditoria.
Parâmetros
N/A
Data de execução
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Enriquecimento de entidade
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| AlientVault_Severity | Retorna se ele existe no resultado JSON |
| AlientVault_Service | Retorna se ele existe no resultado JSON |
| AlientVault_Vulnerability | Retorna se ele existe no resultado JSON |
| AlientVault_Scan Time | Retorna se ele existe no resultado JSON |
| AlientVault_Asset | Retorna se ele existe no resultado JSON |
| AlientVault_Id | Retorna se ele existe no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | True ou false | success:False |
Resultado JSON
[
{
"EntityResult": [{
"Severity": "High",
"Service": "general (0/tcp))",
"Vulnerability": "TCP Sequence Number Approximation Reset Denial of Service Vulnerability",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123456"
}, {
"Severity": "High",
"Service": "https (443/tcp)",
"Vulnerability": "robot(s).txt exists on the Web Server",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123457"
}, {
"Severity": "Medium",
"Service": "general (0/tcp))",
"Vulnerability": "TCP timestamps",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123458"
}],
"Entity": "test"
}
]
Buscar os últimos arquivos PCAP
Busque os últimos arquivos PCAP do AlienVault.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Number Of Files To Fetch | String | N/A | Exemplo: 10 |
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success:False |
Resultado JSON
[
{
"scan_name": "pcap_file_1545041396_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041397_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041398_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}
]
Receber arquivos PCAP para eventos
Receba arquivos PCAP para eventos em um alerta.
Parâmetros
N/A
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success:False |
Resultado JSON
{
"#0-1B09DN3B0D2011E985730AS799BFE5BC": "obLD1AACAAQAAAAAAAAAAAAABdwAAAABV+kUZQAHyFMAAAXqAAAF6gr3GgnfOwobLz7Y6wgARQAF3Dd3QABnBvvXVduqw6wfLg8MmgG7xmc2dMr3EdxQEAD+OgAAABcDAwdVAAAAAAAAAASEw70Ys0kQbz8wdaj1lsHAAA=="
}
Receber relatórios de vulnerabilidades
Receba arquivos de relatório de vulnerabilidade do ambiente.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Número de arquivos a serem buscados | string | N/A | Exemplo: 10 |
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | True ou false | is_success:False |
Resultado JSON
[
{
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link":
"https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C228351E697DE071A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}
]
Ping
Testar a conectividade.
Parâmetros
N/A
Data de execução
Essa ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | True ou false | success:False |
Conectores
Para mais detalhes sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
Conector do dispositivo AlienVault USM
Use os seguintes parâmetros para configurar o conector:
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Ambiente | DDL | N/A | Sim | Selecione o ambiente necessário. Por exemplo, "Cliente Um". Se o campo Ambiente do alerta estiver vazio, ele será injetado neste ambiente. |
| Executar a cada | Número inteiro | 0:0:0:10 | Não | Selecione o horário para executar a conexão. |
| Nome do campo do produto | String | device_product | Sim | O nome do campo usado para determinar o produto do dispositivo. |
| Nome do campo do evento | String | event_name | Sim | O nome do campo que determina o nome do evento (subtipo). |
| Tempo limite do script (segundos) | String | 60 | Sim | O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. |
| Raiz da API | String | N/A | Sim | Endereço da instância do dispositivo USM da LevelBlue, como https://<instance>.alienvault.com |
| Nome de usuário | String | N/A | Sim | E-mail do usuário. |
| Senha | Senha | N/A | Sim | A senha do usuário correspondente. |
| Número máximo de eventos por alerta | Número inteiro | 10 | Sim | Limita o número de eventos por alerta. |
| Número máximo de dias para retroceder | Número inteiro | 1 | Sim | O número de dias antes de hoje para recuperar alertas.
Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector. |
| Máximo de alertas por ciclo | Número inteiro | 10 | Sim | O número máximo de alertas a serem buscados em cada ciclo do conector. Limita o número de alertas em cada ciclo. |
| Fuso horário do servidor | String | UTC | Sim | O fuso horário configurado na instância do AlienVault, como
UTC Asia/Jerusalem. |
| Nome do campo de ambiente | String | N/A | Não | O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
Regras do conector
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.