Integra ArcSight Logger con Google SecOps
En este documento, se explica cómo integrar ArcSight Logger con Google Security Operations (Google SecOps).
Versión de integración: 9.0
Parámetros de integración
Si quieres obtener instrucciones detalladas para configurar una integración en Google Security Operations, consulta Configura integraciones.
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| Dirección del servidor | String | https://<host>:<port> | Sí | Dirección del servidor de la instancia de ArcSight Logger. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de ArcSight Logger. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de ArcSight Logger. |
| Verificar SSL | Casilla de verificación | Desmarcado | No | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de ArcSight Logger sea válido. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Ping
Prueba la conectividad con ArcSight Logger con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Fecha de ejecución
La acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si no hay errores y se devuelven datos: "Se conectó correctamente a ArcSight Logger con los parámetros de conexión proporcionados". La acción debería fallar y detener la ejecución de la guía: Si se informa un error: "Error al ejecutar la acción "Ping"". Reason: {0}''.format(error.Stacktrace) |
General |
Enviar consulta
Envía una consulta para obtener información sobre eventos relacionados del administrador de registros de eventos de ArcSight Logger.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Consulta | String | "" | Sí | Especifica la consulta que se enviará a la búsqueda de eventos de ArcSight Logger. |
| Cantidad máxima de eventos para devolver | Número entero | 100 | No | Especifica la cantidad de eventos que se devolverán. El límite es 10,000. Esta es una limitación de ArcSight Logger. |
| Período | String | 1 h | No | Especifica el período que se usará para recuperar eventos. Valores posibles: 1h - Hace 1 hora 1d, hace 1 día Nota: No puedes combinar valores diferentes, como 1d2h30m. |
| Campos que se recuperarán | Valores separados por comas | Ninguno | No | Especifica qué campos se deben recuperar de ArcSight Logger. Si no se especifica nada, se mostrarán todos los campos disponibles. |
| Incluir datos de eventos sin procesar | Casilla de verificación | Marcado | No | Si está habilitado, los datos de eventos sin procesar se incluyen en la respuesta. |
| Solo en la Búsqueda local | Casilla de verificación | Desmarcado | No | Indica que la búsqueda de eventos de ArcSight Logger es solo local y no incluye los pares de ArcSight Logger. Se establece en falso si deseas incluir a usuarios similares en la búsqueda de eventos. |
| Descubre campos | Casilla de verificación | Marcado | No | Indica que la búsqueda de ArcSight Logger debe intentar descubrir campos en los eventos encontrados. |
| Ordenar | String | ascendente | No | Especifica qué método de ordenamiento se debe usar. Valores posibles: ascendente descendente |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"fields": [
{
"name": "_rowId",
"type": "string",
"alias": "_rowId"
},
{
"name": "_raw",
"type": "string",
"alias": "_raw"
},
{
"name": "Event Time",
"type": "date",
"alias": "Event Time"
},
{
"name": "Logger",
"type": "string",
"alias": "Logger"
},
{
"name": "Device",
"type": "string",
"alias": "Device"
},
{
"name": "Receipt Time",
"type": "date",
"alias": "Receipt Time"
},
{
"name": "deviceReceiptTime",
"type": "date",
"alias": "deviceReceiptTime"
},
{
"name": "deviceCustomString2",
"type": "string",
"alias": "deviceCustomString2"
},
{
"name": "destinationAddress",
"type": "string",
"alias": "destinationAddress"
},
{
"name": "deviceCustomNumber3Label",
"type": "string",
"alias": "deviceCustomNumber3Label"
},
{
"name": "globalEventId",
"type": "number",
"alias": "globalEventId"
},
{
"name": "deviceVersion",
"type": "string",
"alias": "deviceVersion"
},
{
"name": "name",
"type": "string",
"alias": "name"
},
{
"name": "deviceAddress",
"type": "string",
"alias": "deviceAddress"
},
{
"name": "deviceVendor",
"type": "string",
"alias": "deviceVendor"
},
{
"name": "Version",
"type": "string",
"alias": "Version"
},
{
"name": "deviceCustomNumber1Label",
"type": "string",
"alias": "deviceCustomNumber1Label"
},
{
"name": "deviceEventCategory",
"type": "string",
"alias": "deviceEventCategory"
},
{
"name": "endTime",
"type": "date",
"alias": "endTime"
},
{
"name": "fileName",
"type": "string",
"alias": "fileName"
},
{
"name": "deviceCustomNumber2",
"type": "number",
"alias": "deviceCustomNumber2"
},
{
"name": "deviceCustomNumber1",
"type": "number",
"alias": "deviceCustomNumber1"
},
{
"name": "baseEventCount",
"type": "number",
"alias": "baseEventCount"
},
{
"name": "startTime",
"type": "date",
"alias": "startTime"
},
{
"name": "deviceCustomNumber3",
"type": "number",
"alias": "deviceCustomNumber3"
},
{
"name": "agentSeverity",
"type": "string",
"alias": "agentSeverity"
},
{
"name": "fsize",
"type": "string",
"alias": "fsize"
},
{
"name": "deviceProduct",
"type": "string",
"alias": "deviceProduct"
},
{
"name": "deviceEventClassId",
"type": "string",
"alias": "deviceEventClassId"
},
{
"name": "deviceCustomNumber2Label",
"type": "string",
"alias": "deviceCustomNumber2Label"
},
{
"name": "deviceCustomString2Label",
"type": "string",
"alias": "deviceCustomString2Label"
},
{
"name": "fileType",
"type": "string",
"alias": "fileType"
}
],
"results": [
[
"4BFEFD-86@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=15 cn1Label=Percent Used cn2=180 cn2Label=retention period (days) cn3=2048 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Default Storage Group fsize=13 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Default Storage Group",
180,
15,
1,
1585661238546,
2048,
"1",
"13",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
],
[
"4BFEFD-87@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=33 cn1Label=Percent Used cn2=365 cn2Label=retention period (days) cn3=1024 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Internal Event Storage Group fsize=3 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Internal Event Storage Group",
365,
33,
1,
1585661238546,
1024,
"1",
"3",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
]
]
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: >Si el estado se establece en "completado" y el hit es mayor que cero: "Se devolvieron correctamente los eventos para la búsqueda "{0}" desde el registrador de ArcSight".format(query) Si el estado se establece como "completado" y el hit se establece en 0: (is_success == false): "No se encontraron eventos para la búsqueda "{0}" en ArcSight Logger".format(query). >Si el estado se establece como error: "No se puede ejecutar la consulta "{0}" en ArcSight Logger".format(query). Si el código de estado es 409 en la primera solicitud: "No se puede ejecutar la consulta "{0}" en ArcSight Logger. Motivo: {1}".format(query, errors/message from first response)" Mensaje de salida asíncrono: "Starting processing query {0} in ArcSight Logger".format(query) La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave (credenciales incorrectas, error de conexión, falla de la acción): "Error al ejecutar la acción "Send Query". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla | Nombre de la tabla: {Query} Columnas: Todas las columnas disponibles de la respuesta. Consulta la sección Comportamiento de la acción para obtener más detalles. |
General |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.