Intégrer ArcSight Logger à Google SecOps
Ce document explique comment intégrer ArcSight Logger à Google Security Operations (Google SecOps).
Version de l'intégration : 9.0
Paramètres d'intégration
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google Security Operations, consultez Configurer des intégrations.
Utilisez les paramètres suivants pour configurer l'intégration :
Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
---|---|---|---|---|
Nom de l'instance | Chaîne | N/A | Non | Nom de l'instance pour laquelle vous souhaitez configurer l'intégration. |
Description | Chaîne | N/A | Non | Description de l'instance. |
Adresse du serveur | Chaîne | https://<host>:<port> | Oui | Adresse du serveur de l'instance ArcSight Logger. |
Nom d'utilisateur | Chaîne | N/A | Oui | Nom d'utilisateur du compte ArcSight Logger. |
Mot de passe | Mot de passe | N/A | Oui | Mot de passe du compte ArcSight Logger. |
Vérifier le protocole SSL | Case à cocher | Décochée | Non | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur ArcSight Logger est valide. |
Exécuter à distance | Case à cocher | Décochée | Non | Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche. |
Actions
Ping
Testez la connectivité à ArcSight Logger avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Paramètres
N/A
Date d'exécution
L'action ne s'exécute pas sur les entités.
Résultats de l'action
Résultat du script
Nom du résultat du script | Options de valeur | Exemple |
---|---|---|
is_success | Vrai/Faux | is_success:False |
Mur des cas
Type de résultat | Description | Type |
---|---|---|
Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si aucune erreur n'est détectée et que des données sont renvoyées : "Connexion à ArcSight Logger réussie avec les paramètres de connexion fournis !" L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur est signalée : "Erreur lors de l'exécution de l'action "Ping". Raison : {0}''.format(error.Stacktrace) |
Général |
Envoyer une requête
Envoyez une requête pour obtenir des informations sur les événements associés à partir du gestionnaire de journaux d'événements ArcSight Logger.
Paramètres
Nom du paramètre | Type | Valeur par défaut | Obligatoire | Description |
---|---|---|---|---|
Query | Chaîne | "" | Oui | Spécifiez la requête à envoyer à la recherche d'événements ArcSight Logger. |
Nombre maximal d'événements à renvoyer | Integer | 100 | Non | Spécifiez le nombre d'événements à renvoyer. La limite est de 10 000. Il s'agit d'une limitation d'ArcSight Logger. |
Période | Chaîne | 1 h | Non | Spécifiez la période qui sera utilisée pour récupérer les événements. Valeurs possibles : 1 h – Il y a une heure 1 j : il y a un jour Remarque : Vous ne pouvez pas combiner différentes valeurs, comme 1j2h30m. |
Champs à récupérer | Valeurs séparées par une virgule | Aucun | Non | Spécifiez les champs à extraire d'ArcSight Logger. Si rien n'est spécifié, tous les champs disponibles sont renvoyés. |
Inclure les données brutes des événements | Case à cocher | Cochée | Non | Si cette option est activée, les données brutes des événements sont incluses dans la réponse. |
Réseau de Recherche uniquement | Case à cocher | Décochée | Non | Indique que la recherche d'événements ArcSight Logger est locale uniquement et n'inclut pas les homologues ArcSight Logger. Définissez cette valeur sur "false" si vous souhaitez inclure les pairs dans la recherche d'événements. |
Découvrir des champs | Case à cocher | Cochée | Non | Indique que la recherche ArcSight Logger doit essayer de découvrir les champs dans les événements trouvés. |
Tri | Chaîne | ordre croissant | Non | Spécifiez la méthode de tri à utiliser. Valeurs possibles : ordre croissant ordre décroissant |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
Nom du résultat du script | Options de valeur | Exemple |
---|---|---|
is_success | Vrai/Faux | is_success:False |
Résultat JSON
{
"fields": [
{
"name": "_rowId",
"type": "string",
"alias": "_rowId"
},
{
"name": "_raw",
"type": "string",
"alias": "_raw"
},
{
"name": "Event Time",
"type": "date",
"alias": "Event Time"
},
{
"name": "Logger",
"type": "string",
"alias": "Logger"
},
{
"name": "Device",
"type": "string",
"alias": "Device"
},
{
"name": "Receipt Time",
"type": "date",
"alias": "Receipt Time"
},
{
"name": "deviceReceiptTime",
"type": "date",
"alias": "deviceReceiptTime"
},
{
"name": "deviceCustomString2",
"type": "string",
"alias": "deviceCustomString2"
},
{
"name": "destinationAddress",
"type": "string",
"alias": "destinationAddress"
},
{
"name": "deviceCustomNumber3Label",
"type": "string",
"alias": "deviceCustomNumber3Label"
},
{
"name": "globalEventId",
"type": "number",
"alias": "globalEventId"
},
{
"name": "deviceVersion",
"type": "string",
"alias": "deviceVersion"
},
{
"name": "name",
"type": "string",
"alias": "name"
},
{
"name": "deviceAddress",
"type": "string",
"alias": "deviceAddress"
},
{
"name": "deviceVendor",
"type": "string",
"alias": "deviceVendor"
},
{
"name": "Version",
"type": "string",
"alias": "Version"
},
{
"name": "deviceCustomNumber1Label",
"type": "string",
"alias": "deviceCustomNumber1Label"
},
{
"name": "deviceEventCategory",
"type": "string",
"alias": "deviceEventCategory"
},
{
"name": "endTime",
"type": "date",
"alias": "endTime"
},
{
"name": "fileName",
"type": "string",
"alias": "fileName"
},
{
"name": "deviceCustomNumber2",
"type": "number",
"alias": "deviceCustomNumber2"
},
{
"name": "deviceCustomNumber1",
"type": "number",
"alias": "deviceCustomNumber1"
},
{
"name": "baseEventCount",
"type": "number",
"alias": "baseEventCount"
},
{
"name": "startTime",
"type": "date",
"alias": "startTime"
},
{
"name": "deviceCustomNumber3",
"type": "number",
"alias": "deviceCustomNumber3"
},
{
"name": "agentSeverity",
"type": "string",
"alias": "agentSeverity"
},
{
"name": "fsize",
"type": "string",
"alias": "fsize"
},
{
"name": "deviceProduct",
"type": "string",
"alias": "deviceProduct"
},
{
"name": "deviceEventClassId",
"type": "string",
"alias": "deviceEventClassId"
},
{
"name": "deviceCustomNumber2Label",
"type": "string",
"alias": "deviceCustomNumber2Label"
},
{
"name": "deviceCustomString2Label",
"type": "string",
"alias": "deviceCustomString2Label"
},
{
"name": "fileType",
"type": "string",
"alias": "fileType"
}
],
"results": [
[
"4BFEFD-86@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=15 cn1Label=Percent Used cn2=180 cn2Label=retention period (days) cn3=2048 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Default Storage Group fsize=13 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Default Storage Group",
180,
15,
1,
1585661238546,
2048,
"1",
"13",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
],
[
"4BFEFD-87@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=33 cn1Label=Percent Used cn2=365 cn2Label=retention period (days) cn3=1024 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Internal Event Storage Group fsize=3 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Internal Event Storage Group",
365,
33,
1,
1585661238546,
1024,
"1",
"3",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
]
]
}
Mur des cas
Type de résultat | Description | Type |
---|---|---|
Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : >Si l'état est défini sur "Terminé" et que le nombre de résultats est supérieur à zéro : "Événements renvoyés pour la requête "{0}" depuis ArcSight Logger".format(query) Si l'état est défini sur "completed" et que le nombre de résultats est défini sur 0 : (is_success == false) "Aucun événement n'a été trouvé pour la requête "{0}" dans ArcSight Logger".format(query). >Si l'état est défini sur "Erreur" : "Impossible d'exécuter la requête "{0}" dans ArcSight Logger".format(query). Si le code d'état est 409 dans la première requête : "Impossible d'exécuter la requête "{0}" dans ArcSight Logger. Reason: {1}".format(query, errors/message from first response)" Message de sortie asynchrone : "Starting processing query {0} in ArcSight Logger".format(query) L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale (mauvaises identifiants, erreur de connexion, plantage de l'action) est signalée : "Erreur lors de l'exécution de l'action "Envoyer la requête". Raison : {0}''.format(error.Stacktrace) |
Général |
Table | Nom de la table : {Query} Colonnes : toutes les colonnes disponibles dans la réponse. Pour en savoir plus, consultez la section "Comportement de l'action". |
Général |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.