将 LevelBlue USM Appliance 与 Google SecOps 集成
本文档介绍了如何将 LevelBlue Unified Security Management (USM) 设备与 Google Security Operations (Google SecOps) 集成。
集成版本:21.0
集成参数
使用以下参数配置集成:
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 实例名称 | 字符串 | 不适用 | 否 | 您打算为其配置集成的实例的名称。 |
| 说明 | 字符串 | 不适用 | 否 | 实例的说明。 |
| API 根 | 字符串 | https://<instance>.alienvault.com | 是 | LevelBlue USM Appliance 实例的地址。 |
| 用户名 | 字符串 | 不适用 | 是 | 用户用于连接到 LevelBlue USM 设备的应用的电子邮件地址。 |
| 密码 | 密码 | 不适用 | 是 | 用户账号的密码。 |
| 远程运行 | 复选框 | 尚未核查 | 否 | 选择要远程运行已配置的集成的字段。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行手动操作。
丰富素材资源
检索 LevelBlue USM 设备资产详细信息。在 USM 设备中,资产作为集成设备在组织的网络中运行,包括专属 IP 地址。资产可以是 PC、打印机、防火墙、路由器、服务器,也可以是网络允许的多个设备。资产由至少一个 USM 设备传感器监控。
参数
不适用
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作结果
实体丰富化
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 模型 | 返回 JSON 结果中是否存在相应值 |
| descr | 返回 JSON 结果中是否存在相应值 |
| 主机名 | 返回 JSON 结果中是否存在相应值 |
| asset_type | 返回 JSON 结果中是否存在相应值 |
| fqdn | 返回 JSON 结果中是否存在相应值 |
| 设备 | 返回 JSON 结果中是否存在相应值 |
| asset_value | 返回 JSON 结果中是否存在相应值 |
| IP 地址 | 返回 JSON 结果中是否存在相应值 |
| id | 返回 JSON 结果中是否存在相应值 |
| 传感器 | 返回 JSON 结果中是否存在相应值 |
| os | 返回 JSON 结果中是否存在相应值 |
| 网络 | 返回 JSON 结果中是否存在相应值 |
| 图标 | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True 或 False | success:False |
JSON 结果
[
{
"EntityResult": {
"model": null,
"descr": " ",
"hostname": "Hostname",
"asset_type": "Internal",
"fqdn": " ",
"devices": [],
"asset_value": "2",
"ips": {
"3.3.3.3": {
"ip": "192.0.2.1",
"mac": "01:23:45:AB:CD:EF"
}},
"id": "123D37D595B800734550B9D9D6A958C6",
"sensors": {
"C221234962EA11E697DE0AF71A09DF3B": {
"ip": "192.0.2.1",
"ctxs": {
"C228355962EA11E697DE0AF71A09DF3B": "AlienVault"
},
"name": "DA"
}},
"os": "Linux",
"networks": {
"7E4B12EEFD06A21F898345C2AB46EB10": {
"ips": "192.0.2.1/24",
"ctx": "C228355962EA11E697DE0AF71A09DF3B",
"name": "Pvt_000"
}},
"icon": " "
},
"Entity": "example.com"
}
]
丰富漏洞信息
从 LevelBlue USM 设备检索漏洞信息。USM 设备传感器上的集成式漏洞扫描器可以检测关键资产中的漏洞。然后,这些未发现的漏洞可用于交叉关联规则、强制执行和审核报告。
参数
不适用
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作结果
实体丰富化
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| AlientVault_Severity | 返回 JSON 结果中是否存在相应值 |
| AlientVault_Service | 返回 JSON 结果中是否存在相应值 |
| AlientVault_Vulnerability | 返回 JSON 结果中是否存在相应值 |
| AlienVault_扫描时间 | 返回 JSON 结果中是否存在相应值 |
| AlientVault_Asset | 返回 JSON 结果中是否存在相应值 |
| AlientVault_Id | 返回 JSON 结果中是否存在相应值 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True 或 False | success:False |
JSON 结果
[
{
"EntityResult": [{
"Severity": "High",
"Service": "general (0/tcp))",
"Vulnerability": "TCP Sequence Number Approximation Reset Denial of Service Vulnerability",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123456"
}, {
"Severity": "High",
"Service": "https (443/tcp)",
"Vulnerability": "robot(s).txt exists on the Web Server",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123457"
}, {
"Severity": "Medium",
"Service": "general (0/tcp))",
"Vulnerability": "TCP timestamps",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123458"
}],
"Entity": "test"
}
]
提取上次的 PCAP 文件
从 AlienVault 获取上一个 PCAP 文件。
参数
| 参数名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 要提取的文件数 | 字符串 | 不适用 | 示例:10 |
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 结果
[
{
"scan_name": "pcap_file_1545041396_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041397_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041398_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}
]
获取事件的 PCAP 文件
获取提醒中事件的 PCAP 文件。
参数
不适用
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 结果
{
"#0-1B09DN3B0D2011E985730AS799BFE5BC": "obLD1AACAAQAAAAAAAAAAAAABdwAAAABV+kUZQAHyFMAAAXqAAAF6gr3GgnfOwobLz7Y6wgARQAF3Dd3QABnBvvXVduqw6wfLg8MmgG7xmc2dMr3EdxQEAD+OgAAABcDAwdVAAAAAAAAAASEw70Ys0kQbz8wdaj1lsHAAA=="
}
获取漏洞报告
获取环境漏洞报告文件。
参数
| 参数名称 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 要提取的文件数 | 字符串 | 不适用 | 示例:10 |
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 结果
[
{
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link":
"https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C228351E697DE071A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}
]
Ping
测试连接。
参数
不适用
运行于
此操作会在所有实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| 成功 | True 或 False | success:False |
连接器
如需详细了解如何在 Google SecOps 中配置连接器,请参阅注入数据(连接器)。
AlienVault USM 设备连接器
使用以下参数配置连接器:
| 参数名称 | 类型 | 默认值 | 为必需参数 | 说明 |
|---|---|---|---|---|
| 环境 | DDL | 不适用 | 是 | 选择所需的环境。例如,“客户一”。 如果提醒的环境字段为空,则会将其注入此环境。 |
| 运行频率 | 整数 | 0:0:0:10 | 否 | 选择运行连接的时间。 |
| 商品字段名称 | 字符串 | device_product | 是 | 用于确定设备产品的字段名称。 |
| 事件字段名称 | 字符串 | event_name | 是 | 用于确定事件名称(子类型)的字段的名称。 |
| 脚本超时(秒) | 字符串 | 60 | 是 | 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 |
| API 根 | 字符串 | 不适用 | 是 | LevelBlue USM 设备实例的地址,例如 https://<instance>.alienvault.com |
| 用户名 | 字符串 | 不适用 | 是 | 用户的电子邮件地址。 |
| 密码 | 密码 | 不适用 | 是 | 相应用户的密码。 |
| 每个提醒的事件数量上限 | 整数 | 10 | 是 | 限制每个提醒的事件数量。 |
| 回溯的天数上限 | 整数 | 1 | 是 | 要检索的提醒距今天的天数。
此参数可应用于您首次启用连接器后的初始连接器迭代,也可作为过期连接器时间戳的回退值。 |
| 每个周期的提醒数量上限 | 整数 | 10 | 是 | 每个连接器周期中要提取的提醒数量上限。 限制每个周期内的提醒数量。 |
| 服务器时区 | 字符串 | UTC | 是 | AlienVault 实例中配置的时区,例如 UTC Asia/Jerusalem。 |
| 环境字段名称 | 字符串 | 不适用 | 否 | 存储环境名称的字段的名称。 如果缺少环境字段,连接器将使用默认值。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
连接器规则
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。