整合 LevelBlue USM Appliance 與 Google SecOps
本文說明如何將 LevelBlue Unified Security Management (USM) 設備與 Google Security Operations (Google SecOps) 整合。
整合版本:21.0
整合參數
請使用下列參數設定整合:
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 根目錄 | 字串 | https://<instance>.alienvault.com | 是 | LevelBlue USM Appliance 執行個體的位址。 |
| 使用者名稱 | 字串 | 不適用 | 是 | 使用者連線至 LevelBlue USM 設備的電子郵件地址。 |
| 密碼 | 密碼 | 不適用 | 是 | 使用者帳戶的密碼。 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 選取要遠端執行設定整合的欄位。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
充實資產
擷取 LevelBlue USM Appliance 資產詳細資料。在 USM 裝置中,資產會以整合式設備的形式在機構組織的網路上運作,包括專屬 IP 位址。資產可以是電腦、印表機、防火牆、路由器、伺服器,或是網路允許的多個裝置。資產由至少一個 USM 設備感應器監控。
參數
不適用
執行日期
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作結果
實體充實
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 模型 | 如果 JSON 結果中存在該值,則傳回該值 |
| descr | 如果 JSON 結果中存在該值,則傳回該值 |
| 主機名稱 | 如果 JSON 結果中存在該值,則傳回該值 |
| asset_type | 如果 JSON 結果中存在該值,則傳回該值 |
| fqdn | 如果 JSON 結果中存在該值,則傳回該值 |
| 裝置 | 如果 JSON 結果中存在該值,則傳回該值 |
| asset_value | 如果 JSON 結果中存在該值,則傳回該值 |
| ips | 如果 JSON 結果中存在該值,則傳回該值 |
| id | 如果 JSON 結果中存在該值,則傳回該值 |
| 感應器 | 如果 JSON 結果中存在該值,則傳回該值 |
| os | 如果 JSON 結果中存在該值,則傳回該值 |
| 網路 | 如果 JSON 結果中存在該值,則傳回該值 |
| 圖示 | 如果 JSON 結果中存在該值,則傳回該值 |
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True 或 False | success:False |
JSON 結果
[
{
"EntityResult": {
"model": null,
"descr": " ",
"hostname": "Hostname",
"asset_type": "Internal",
"fqdn": " ",
"devices": [],
"asset_value": "2",
"ips": {
"3.3.3.3": {
"ip": "192.0.2.1",
"mac": "01:23:45:AB:CD:EF"
}},
"id": "123D37D595B800734550B9D9D6A958C6",
"sensors": {
"C221234962EA11E697DE0AF71A09DF3B": {
"ip": "192.0.2.1",
"ctxs": {
"C228355962EA11E697DE0AF71A09DF3B": "AlienVault"
},
"name": "DA"
}},
"os": "Linux",
"networks": {
"7E4B12EEFD06A21F898345C2AB46EB10": {
"ips": "192.0.2.1/24",
"ctx": "C228355962EA11E697DE0AF71A09DF3B",
"name": "Pvt_000"
}},
"icon": " "
},
"Entity": "example.com"
}
]
擴充安全漏洞資訊
從 LevelBlue USM Appliance 擷取安全漏洞資訊。USM Appliance Sensor 整合式安全漏洞掃描器可偵測重要資產中的安全漏洞。這些發現的安全漏洞可用於交叉關聯規則、強制執行和稽核報告。
參數
不適用
執行日期
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作結果
實體充實
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| AlientVault_Severity | 如果 JSON 結果中存在該值,則傳回該值 |
| AlientVault_Service | 如果 JSON 結果中存在該值,則傳回該值 |
| AlientVault_Vulnerability | 如果 JSON 結果中存在該值,則傳回該值 |
| AlienVault_Scan Time | 如果 JSON 結果中存在該值,則傳回該值 |
| AlientVault_Asset | 如果 JSON 結果中存在該值,則傳回該值 |
| AlientVault_Id | 如果 JSON 結果中存在該值,則傳回該值 |
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True 或 False | success:False |
JSON 結果
[
{
"EntityResult": [{
"Severity": "High",
"Service": "general (0/tcp))",
"Vulnerability": "TCP Sequence Number Approximation Reset Denial of Service Vulnerability",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123456"
}, {
"Severity": "High",
"Service": "https (443/tcp)",
"Vulnerability": "robot(s).txt exists on the Web Server",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123457"
}, {
"Severity": "Medium",
"Service": "general (0/tcp))",
"Vulnerability": "TCP timestamps",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123458"
}],
"Entity": "test"
}
]
擷取最後的 PCAP 檔案
從 AlienVault 擷取最後的 PCAP 檔案。
參數
| 參數名稱 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 要擷取的檔案數量 | 字串 | 不適用 | 範例:10 |
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
[
{
"scan_name": "pcap_file_1545041396_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041397_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041398_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}
]
取得事件的 PCAP 檔案
取得快訊中事件的 PCAP 檔案。
參數
不適用
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
{
"#0-1B09DN3B0D2011E985730AS799BFE5BC": "obLD1AACAAQAAAAAAAAAAAAABdwAAAABV+kUZQAHyFMAAAXqAAAF6gr3GgnfOwobLz7Y6wgARQAF3Dd3QABnBvvXVduqw6wfLg8MmgG7xmc2dMr3EdxQEAD+OgAAABcDAwdVAAAAAAAAAASEw70Ys0kQbz8wdaj1lsHAAA=="
}
取得安全漏洞報告
取得環境安全漏洞報告檔案。
參數
| 參數名稱 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 要擷取的檔案數量 | 字串 | 不適用 | 範例:10 |
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True 或 False | is_success:False |
JSON 結果
[
{
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link":
"https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C228351E697DE071A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}
]
乒乓
測試連線。
參數
不適用
執行日期
這項操作會對所有實體執行。
動作結果
指令碼結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| 成功 | True 或 False | success:False |
連接器
如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。
AlienVault USM 設備連接器
請使用下列參數設定連接器:
| 參數名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 環境 | DDL | 不適用 | 是 | 選取所需環境。例如「Customer One」。 如果快訊的「環境」欄位空白,系統就會將快訊插入這個環境。 |
| 執行頻率 | 整數 | 0:0:0:10 | 否 | 選取執行連線的時間。 |
| 產品欄位名稱 | 字串 | device_product | 是 | 用來判斷裝置產品的欄位名稱。 |
| 事件欄位名稱 | 字串 | event_name | 是 | 決定事件名稱 (子類型) 的欄位名稱。 |
| 指令碼逾時 (秒) | 字串 | 60 | 是 | 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 |
| API 根目錄 | 字串 | 不適用 | 是 | LevelBlue USM 設備執行個體的位址,例如 https://<instance>.alienvault.com |
| 使用者名稱 | 字串 | 不適用 | 是 | 使用者的電子郵件地址。 |
| 密碼 | 密碼 | 不適用 | 是 | 相應使用者的密碼。 |
| 每個快訊的事件上限 | 整數 | 10 | 是 | 限制每個快訊的事件數。 |
| 最多可回溯的天數 | 整數 | 1 | 是 | 要擷取快訊的今天前天數。
這個參數可套用至首次啟用連接器後的初始連接器疊代,或套用至過期連接器時間戳記的回溯值。 |
| 每個週期最多可發出的快訊數 | 整數 | 10 | 是 | 每個連接器週期要擷取的警報數量上限。 限制每個週期內的快訊數量。 |
| 伺服器時區 | 字串 | 世界標準時間 | 是 | AlienVault 執行個體中設定的時區,例如 UTC Asia/Jerusalem。 |
| 環境欄位名稱 | 字串 | 不適用 | 否 | 儲存環境名稱的欄位名稱。 如果缺少環境欄位,連接器會使用預設值。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
連接器規則
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。