ArcSight Logger in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie ArcSight Logger in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 9.0
Integrationsparameter
Eine ausführliche Anleitung zum Konfigurieren einer Integration in Google Security Operations finden Sie unter Integrationen konfigurieren.
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| Serveradresse | String | https://<host>:<port> | Ja | Die Serveradresse der ArcSight Logger-Instanz. |
| Nutzername | String | – | Ja | Nutzername des ArcSight Logger-Kontos. |
| Passwort | Passwort | – | Ja | Das Passwort des ArcSight Logger-Kontos. |
| SSL überprüfen | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum ArcSight Logger-Server gültig ist. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
Ping
Testen Sie die Verbindung zu ArcSight Logger mit den Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Die Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder eine Playbook-Ausführung stoppen: Keine Fehler und zurückgegebene Daten: „Successfully connected to the ArcSight Logger with the provided connection parameters!“ (Es wurde eine Verbindung zum ArcSight Logger mit den angegebenen Verbindungsparametern hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein Fehler gemeldet wird: „Fehler beim Ausführen der Aktion ‚Ping‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Anfrage senden
Senden Sie eine Anfrage, um Informationen zu verknüpften Ereignissen aus dem ArcSight Logger-Ereignisprotokollmanager zu erhalten.
Parameter
| Parametername | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Abfrage | String | "" | Ja | Geben Sie die Abfrage an, die an die ArcSight Logger-Ereignissuche gesendet werden soll. |
| Maximale Anzahl zurückzugebender Ereignisse | Ganzzahl | 100 | Nein | Geben Sie an, wie viele Ereignisse zurückgegeben werden sollen. Das Limit beträgt 10.000. Dies ist eine Einschränkung von ArcSight Logger. |
| Zeitraum | String | 1 Std. | Nein | Geben Sie den Zeitraum an, der zum Abrufen von Ereignissen verwendet wird. Mögliche Werte: 1h – vor einer Stunde 1d – vor einem Tag Hinweis: Sie können keine unterschiedlichen Werte wie 1d2h30m kombinieren. |
| Abzurufende Felder | CSV | Keine | Nein | Geben Sie an, welche Felder aus ArcSight Logger abgerufen werden sollen. Wenn nichts angegeben ist, werden alle verfügbaren Felder zurückgegeben. |
| Rohereignisdaten einschließen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, sind Rohdaten zu Ereignissen in der Antwort enthalten. |
| Nur lokale Suche | Kästchen | Deaktiviert | Nein | Gibt an, dass die ArcSight Logger-Ereignissuche nur lokal erfolgt und keine ArcSight Logger-Peers umfasst. Auf „false“ setzen, wenn Sie Kollegen in die Terminsuche einbeziehen möchten. |
| Felder entdecken | Kästchen | Aktiviert | Nein | Gibt an, dass bei der ArcSight Logger-Suche versucht werden soll, Felder in den gefundenen Ereignissen zu ermitteln. |
| Sortieren | String | aufsteigend | Nein | Geben Sie an, welche Sortiermethode verwendet werden soll. Mögliche Werte: aufsteigend absteigend |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"fields": [
{
"name": "_rowId",
"type": "string",
"alias": "_rowId"
},
{
"name": "_raw",
"type": "string",
"alias": "_raw"
},
{
"name": "Event Time",
"type": "date",
"alias": "Event Time"
},
{
"name": "Logger",
"type": "string",
"alias": "Logger"
},
{
"name": "Device",
"type": "string",
"alias": "Device"
},
{
"name": "Receipt Time",
"type": "date",
"alias": "Receipt Time"
},
{
"name": "deviceReceiptTime",
"type": "date",
"alias": "deviceReceiptTime"
},
{
"name": "deviceCustomString2",
"type": "string",
"alias": "deviceCustomString2"
},
{
"name": "destinationAddress",
"type": "string",
"alias": "destinationAddress"
},
{
"name": "deviceCustomNumber3Label",
"type": "string",
"alias": "deviceCustomNumber3Label"
},
{
"name": "globalEventId",
"type": "number",
"alias": "globalEventId"
},
{
"name": "deviceVersion",
"type": "string",
"alias": "deviceVersion"
},
{
"name": "name",
"type": "string",
"alias": "name"
},
{
"name": "deviceAddress",
"type": "string",
"alias": "deviceAddress"
},
{
"name": "deviceVendor",
"type": "string",
"alias": "deviceVendor"
},
{
"name": "Version",
"type": "string",
"alias": "Version"
},
{
"name": "deviceCustomNumber1Label",
"type": "string",
"alias": "deviceCustomNumber1Label"
},
{
"name": "deviceEventCategory",
"type": "string",
"alias": "deviceEventCategory"
},
{
"name": "endTime",
"type": "date",
"alias": "endTime"
},
{
"name": "fileName",
"type": "string",
"alias": "fileName"
},
{
"name": "deviceCustomNumber2",
"type": "number",
"alias": "deviceCustomNumber2"
},
{
"name": "deviceCustomNumber1",
"type": "number",
"alias": "deviceCustomNumber1"
},
{
"name": "baseEventCount",
"type": "number",
"alias": "baseEventCount"
},
{
"name": "startTime",
"type": "date",
"alias": "startTime"
},
{
"name": "deviceCustomNumber3",
"type": "number",
"alias": "deviceCustomNumber3"
},
{
"name": "agentSeverity",
"type": "string",
"alias": "agentSeverity"
},
{
"name": "fsize",
"type": "string",
"alias": "fsize"
},
{
"name": "deviceProduct",
"type": "string",
"alias": "deviceProduct"
},
{
"name": "deviceEventClassId",
"type": "string",
"alias": "deviceEventClassId"
},
{
"name": "deviceCustomNumber2Label",
"type": "string",
"alias": "deviceCustomNumber2Label"
},
{
"name": "deviceCustomString2Label",
"type": "string",
"alias": "deviceCustomString2Label"
},
{
"name": "fileType",
"type": "string",
"alias": "fileType"
}
],
"results": [
[
"4BFEFD-86@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=15 cn1Label=Percent Used cn2=180 cn2Label=retention period (days) cn3=2048 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Default Storage Group fsize=13 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Default Storage Group",
180,
15,
1,
1585661238546,
2048,
"1",
"13",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
],
[
"4BFEFD-87@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=33 cn1Label=Percent Used cn2=365 cn2Label=retention period (days) cn3=1024 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Internal Event Storage Group fsize=3 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Internal Event Storage Group",
365,
33,
1,
1585661238546,
1024,
"1",
"3",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
]
]
}
Fall-Repository
| Ergebnistyp | Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder eine Playbook-Ausführung stoppen: >Wenn der Status auf „abgeschlossen“ gesetzt ist und der Treffer größer als null ist: „Successfully returned events for query "{0}" from the ArcSight Logger“.format(query) Wenn der Status auf „Abgeschlossen“ und der Treffer auf „0“ festgelegt ist: (is_success == false): „Für die Abfrage ‚{0}‘ wurden in ArcSight Logger keine Ereignisse gefunden“.format(query). >Wenn der Status auf „Fehler“ gesetzt ist: „Abfrage {0} konnte in ArcSight Logger nicht ausgeführt werden“.format(query). Wenn der Statuscode in der ersten Anfrage 409 ist: „Die Abfrage ‚{0}‘ kann in ArcSight Logger nicht ausgeführt werden. Grund: {1}".format(query, errors/message from first response)" Asynchrone Ausgabenachricht: „Starting processing query {0} in ArcSight Logger“.format(query) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird (falsche Anmeldedaten, Verbindungsfehler, Absturz der Aktion): „Fehler beim Ausführen der Aktion ‚Anfrage senden‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle | Tabellenname: {Query} Spalten:Alle verfügbaren Spalten aus der Antwort. Weitere Informationen finden Sie im Abschnitt „Aktionsverhalten“. |
Allgemein |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten