Integrar ArcSight Logger con Google SecOps
En este documento se explica cómo integrar ArcSight Logger con Google Security Operations (Google SecOps).
Versión de integración: 9.0
Parámetros de integración
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google Security Operations, consulta Configurar integraciones.
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| Dirección del servidor | Cadena | https://<host>:<port> | Sí | La dirección del servidor de la instancia de ArcSight Logger. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de ArcSight Logger. |
| Contraseña | Contraseña | N/A | Sí | La contraseña de la cuenta de ArcSight Logger. |
| Verificar SSL | Casilla | Desmarcada | No | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor ArcSight Logger sea válido. |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Ping
Prueba la conectividad con ArcSight Logger con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Fecha de ejecución
La acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si no hay errores y se devuelven datos: "Successfully connected to the ArcSight Logger with the provided connection parameters!" ("Se ha conectado correctamente a ArcSight Logger con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error: "Error al ejecutar la acción "Ping". Motivo: {0}''.format(error.Stacktrace) |
General |
Enviar consulta
Envía una consulta para obtener información sobre eventos relacionados del gestor de registros de eventos de ArcSight Logger.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Consulta | Cadena | "" | Sí | Especifica la consulta que se enviará a la búsqueda de eventos de ArcSight Logger. |
| Número máximo de eventos que se devolverán | Entero | 100 | No | Especifica el número de eventos que se van a devolver. El límite es de 10.000. Esta es una limitación de ArcSight Logger. |
| Periodo | Cadena | 1 h | No | Especifica el periodo que se usará para obtener los eventos. Valores posibles: Hace 1 hora 1d - Hace 1 día Nota: No puedes combinar valores diferentes, como 1d2h30m. |
| Campos que se van a obtener | Valores separados por comas | Ninguno | No | Especifica qué campos se deben obtener de ArcSight Logger. Si no se especifica nada, se devolverán todos los campos disponibles. |
| Incluir datos de eventos sin procesar | Casilla | Marcada | No | Si está habilitada, los datos de eventos sin procesar se incluyen en la respuesta. |
| Solo búsqueda local | Casilla | Desmarcada | No | Indica que la búsqueda de eventos de ArcSight Logger es solo local y no incluye los elementos del mismo nivel de ArcSight Logger. Define el valor como "false" si quieres incluir los elementos del mismo nivel en la búsqueda de eventos. |
| Descubrir campos | Casilla | Marcada | No | Indica que la búsqueda de ArcSight Logger debe intentar detectar campos en los eventos encontrados. |
| Ordenar | Cadena | ascendente | No | Especifica el método de ordenación que quieres usar. Posibles valores: ascendente descendente |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"fields": [
{
"name": "_rowId",
"type": "string",
"alias": "_rowId"
},
{
"name": "_raw",
"type": "string",
"alias": "_raw"
},
{
"name": "Event Time",
"type": "date",
"alias": "Event Time"
},
{
"name": "Logger",
"type": "string",
"alias": "Logger"
},
{
"name": "Device",
"type": "string",
"alias": "Device"
},
{
"name": "Receipt Time",
"type": "date",
"alias": "Receipt Time"
},
{
"name": "deviceReceiptTime",
"type": "date",
"alias": "deviceReceiptTime"
},
{
"name": "deviceCustomString2",
"type": "string",
"alias": "deviceCustomString2"
},
{
"name": "destinationAddress",
"type": "string",
"alias": "destinationAddress"
},
{
"name": "deviceCustomNumber3Label",
"type": "string",
"alias": "deviceCustomNumber3Label"
},
{
"name": "globalEventId",
"type": "number",
"alias": "globalEventId"
},
{
"name": "deviceVersion",
"type": "string",
"alias": "deviceVersion"
},
{
"name": "name",
"type": "string",
"alias": "name"
},
{
"name": "deviceAddress",
"type": "string",
"alias": "deviceAddress"
},
{
"name": "deviceVendor",
"type": "string",
"alias": "deviceVendor"
},
{
"name": "Version",
"type": "string",
"alias": "Version"
},
{
"name": "deviceCustomNumber1Label",
"type": "string",
"alias": "deviceCustomNumber1Label"
},
{
"name": "deviceEventCategory",
"type": "string",
"alias": "deviceEventCategory"
},
{
"name": "endTime",
"type": "date",
"alias": "endTime"
},
{
"name": "fileName",
"type": "string",
"alias": "fileName"
},
{
"name": "deviceCustomNumber2",
"type": "number",
"alias": "deviceCustomNumber2"
},
{
"name": "deviceCustomNumber1",
"type": "number",
"alias": "deviceCustomNumber1"
},
{
"name": "baseEventCount",
"type": "number",
"alias": "baseEventCount"
},
{
"name": "startTime",
"type": "date",
"alias": "startTime"
},
{
"name": "deviceCustomNumber3",
"type": "number",
"alias": "deviceCustomNumber3"
},
{
"name": "agentSeverity",
"type": "string",
"alias": "agentSeverity"
},
{
"name": "fsize",
"type": "string",
"alias": "fsize"
},
{
"name": "deviceProduct",
"type": "string",
"alias": "deviceProduct"
},
{
"name": "deviceEventClassId",
"type": "string",
"alias": "deviceEventClassId"
},
{
"name": "deviceCustomNumber2Label",
"type": "string",
"alias": "deviceCustomNumber2Label"
},
{
"name": "deviceCustomString2Label",
"type": "string",
"alias": "deviceCustomString2Label"
},
{
"name": "fileType",
"type": "string",
"alias": "fileType"
}
],
"results": [
[
"4BFEFD-86@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=15 cn1Label=Percent Used cn2=180 cn2Label=retention period (days) cn3=2048 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Default Storage Group fsize=13 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Default Storage Group",
180,
15,
1,
1585661238546,
2048,
"1",
"13",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
],
[
"4BFEFD-87@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=33 cn1Label=Percent Used cn2=365 cn2Label=retention period (days) cn3=1024 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Internal Event Storage Group fsize=3 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Internal Event Storage Group",
365,
33,
1,
1585661238546,
1024,
"1",
"3",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
]
]
}
Panel de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: >Si el estado es "completed" y el número de aciertos es superior a cero: "Successfully returned events for query "{0}" from the ArcSight Logger".format(query) ("Se han devuelto correctamente los eventos de la consulta "{0}" del registrador de ArcSight"). Si el estado es "completed" y el acierto es 0: (is_success == false): "No se han encontrado eventos para la consulta "{0}" en ArcSight Logger".format(query). >Si el estado es de error: "Unable to execute query "{0}" in ArcSight Logger".format(query). Si el código de estado es 409 en la primera solicitud: "No se puede ejecutar la consulta "{0}" en ArcSight Logger. Motivo: {1}".format(query, errors/message from first response)" Mensaje de salida asíncrono: "Starting processing query {0} in ArcSight Logger".format(query) La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave (credenciales incorrectas, error de conexión o fallo de la acción): "Error al ejecutar la acción "Enviar consulta". Motivo: {0}''.format(error.Stacktrace) |
General |
| Tabla | Nombre de la tabla: {Query} Columnas: todas las columnas disponibles de la respuesta. Consulta la sección Comportamiento de las acciones para obtener más información. |
General |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.