Mengintegrasikan ArcSight Logger dengan Google SecOps
Dokumen ini menjelaskan cara mengintegrasikan ArcSight Logger dengan Google Security Operations (Google SecOps).
Versi integrasi: 9.0
Parameter integrasi
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google Security Operations, lihat Mengonfigurasi integrasi.
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama parameter | Jenis | Nilai default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| Alamat Server | String | https://<host>:<port> | Ya | Alamat server instance ArcSight Logger. |
| Nama pengguna | String | T/A | Ya | Nama pengguna akun ArcSight Logger. |
| Sandi | Sandi | T/A | Ya | Sandi akun ArcSight Logger. |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server ArcSight Logger valid. |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Tindakan
Ping
Uji konektivitas ke ArcSight Logger dengan parameter yang diberikan di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace.
Parameter
T/A
Dijalankan pada
Tindakan tidak dijalankan pada entity.
Hasil tindakan
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis hasil | Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika tidak ada error dan data yang ditampilkan: "Berhasil terhubung ke ArcSight Logger dengan parameter koneksi yang diberikan". Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error dilaporkan: "Error saat menjalankan tindakan "Ping". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Kirim Kueri
Kirim kueri untuk mendapatkan informasi tentang peristiwa terkait dari pengelola log peristiwa ArcSight Logger.
Parameter
| Nama parameter | Jenis | Nilai default | Wajib diisi | Deskripsi |
|---|---|---|---|---|
| Kueri | String | "" | Ya | Tentukan kueri yang akan dikirim ke penelusuran peristiwa ArcSight Logger. |
| Jumlah Maksimum Acara yang Akan Ditampilkan | Bilangan bulat | 100 | Tidak | Tentukan jumlah peristiwa yang akan ditampilkan. Batasnya adalah 10000. Ini adalah batasan ArcSight Logger. |
| Jangka Waktu | String | 1j | Tidak | Tentukan jangka waktu yang akan digunakan untuk mengambil peristiwa. Nilai yang mungkin: 1j - 1 jam yang lalu 1d - 1 hari yang lalu Catatan: Anda tidak dapat menggabungkan nilai yang berbeda, seperti 1h20m30d. |
| Kolom yang Akan Diambil | Comma Spearated Values | Tidak ada | Tidak | Tentukan kolom yang akan diambil dari ArcSight Logger. Jika tidak ada yang ditentukan, semua kolom yang tersedia akan ditampilkan. |
| Menyertakan Data Peristiwa Mentah | Kotak centang | Dicentang | Tidak | Jika diaktifkan, data peristiwa mentah akan disertakan dalam respons. |
| Khusus Penelusuran Lokal | Kotak centang | Tidak dicentang | Tidak | Menunjukkan bahwa penelusuran peristiwa ArcSight Logger hanya bersifat lokal, dan tidak menyertakan peer ArcSight Logger. Setel ke salah (false) jika Anda ingin menyertakan rekan dalam penelusuran acara. |
| Menemukan kolom | Kotak centang | Dicentang | Tidak | Menunjukkan bahwa penelusuran ArcSight Logger harus mencoba menemukan kolom dalam peristiwa yang ditemukan. |
| Urutkan | String | menaik | Tidak | Tentukan metode pengurutan yang akan digunakan. Nilai yang memungkinkan: menaik menurun |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil tindakan
Hasil skrip
| Nama hasil skrip | Opsi nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"fields": [
{
"name": "_rowId",
"type": "string",
"alias": "_rowId"
},
{
"name": "_raw",
"type": "string",
"alias": "_raw"
},
{
"name": "Event Time",
"type": "date",
"alias": "Event Time"
},
{
"name": "Logger",
"type": "string",
"alias": "Logger"
},
{
"name": "Device",
"type": "string",
"alias": "Device"
},
{
"name": "Receipt Time",
"type": "date",
"alias": "Receipt Time"
},
{
"name": "deviceReceiptTime",
"type": "date",
"alias": "deviceReceiptTime"
},
{
"name": "deviceCustomString2",
"type": "string",
"alias": "deviceCustomString2"
},
{
"name": "destinationAddress",
"type": "string",
"alias": "destinationAddress"
},
{
"name": "deviceCustomNumber3Label",
"type": "string",
"alias": "deviceCustomNumber3Label"
},
{
"name": "globalEventId",
"type": "number",
"alias": "globalEventId"
},
{
"name": "deviceVersion",
"type": "string",
"alias": "deviceVersion"
},
{
"name": "name",
"type": "string",
"alias": "name"
},
{
"name": "deviceAddress",
"type": "string",
"alias": "deviceAddress"
},
{
"name": "deviceVendor",
"type": "string",
"alias": "deviceVendor"
},
{
"name": "Version",
"type": "string",
"alias": "Version"
},
{
"name": "deviceCustomNumber1Label",
"type": "string",
"alias": "deviceCustomNumber1Label"
},
{
"name": "deviceEventCategory",
"type": "string",
"alias": "deviceEventCategory"
},
{
"name": "endTime",
"type": "date",
"alias": "endTime"
},
{
"name": "fileName",
"type": "string",
"alias": "fileName"
},
{
"name": "deviceCustomNumber2",
"type": "number",
"alias": "deviceCustomNumber2"
},
{
"name": "deviceCustomNumber1",
"type": "number",
"alias": "deviceCustomNumber1"
},
{
"name": "baseEventCount",
"type": "number",
"alias": "baseEventCount"
},
{
"name": "startTime",
"type": "date",
"alias": "startTime"
},
{
"name": "deviceCustomNumber3",
"type": "number",
"alias": "deviceCustomNumber3"
},
{
"name": "agentSeverity",
"type": "string",
"alias": "agentSeverity"
},
{
"name": "fsize",
"type": "string",
"alias": "fsize"
},
{
"name": "deviceProduct",
"type": "string",
"alias": "deviceProduct"
},
{
"name": "deviceEventClassId",
"type": "string",
"alias": "deviceEventClassId"
},
{
"name": "deviceCustomNumber2Label",
"type": "string",
"alias": "deviceCustomNumber2Label"
},
{
"name": "deviceCustomString2Label",
"type": "string",
"alias": "deviceCustomString2Label"
},
{
"name": "fileType",
"type": "string",
"alias": "fileType"
}
],
"results": [
[
"4BFEFD-86@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=15 cn1Label=Percent Used cn2=180 cn2Label=retention period (days) cn3=2048 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Default Storage Group fsize=13 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Default Storage Group",
180,
15,
1,
1585661238546,
2048,
"1",
"13",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
],
[
"4BFEFD-87@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=33 cn1Label=Percent Used cn2=365 cn2Label=retention period (days) cn3=1024 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Internal Event Storage Group fsize=3 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Internal Event Storage Group",
365,
33,
1,
1585661238546,
1024,
"1",
"3",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
]
]
}
Repositori Kasus
| Jenis hasil | Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: >Jika status ditetapkan ke "selesai" dan hit lebih besar dari nol: "Successfully returned events for query "{0}" from the ArcSight Logger".format(query) Jika status ditetapkan "selesai" dan hit ditetapkan ke 0: (is_success == false): "Events were not found for query "{0}" in ArcSight Logger".format(query). >Jika status ditetapkan ke error: "Unable to execute query "{0}" in ArcSight Logger".format(query). Jika kode status adalah 409 dalam permintaan pertama: "Tidak dapat menjalankan kueri "{0}" di ArcSight Logger. Alasan: {1}".format(query, errors/message from first response)" Pesan output asinkron: "Starting processing query {0} in ArcSight Logger".format(query) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal (kredensial salah, error koneksi, tindakan gagal) dilaporkan: "Error saat menjalankan tindakan "Kirim Kueri". Alasan: {0}''.format(error.Stacktrace) |
Umum |
| Tabel | Nama tabel: {Query} Kolom: semua kolom yang tersedia dari respons. Lihat bagian perilaku Tindakan untuk mengetahui detail selengkapnya. |
Umum |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.