Integrare ArcSight Logger con Google SecOps
Questo documento spiega come integrare ArcSight Logger con Google Security Operations (Google SecOps).
Versione integrazione: 9.0
Parametri di integrazione
Per istruzioni dettagliate su come configurare un'integrazione in Google Security Operations, vedi Configurare le integrazioni.
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Indirizzo del server | Stringa | https://<host>:<port> | Sì | L'indirizzo del server dell'istanza di ArcSight Logger. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account ArcSight Logger. |
| Password | Password | N/D | Sì | La password dell'account ArcSight Logger. |
| Verifica SSL | Casella di controllo | Deselezionata | No | Se abilitato, verifica che il certificato SSL per la connessione al server ArcSight Logger sia valido. |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
Dindin
Verifica la connettività ad ArcSight Logger con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Pubblica su
L'azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire o interrompere l'esecuzione di un playbook: Se non sono presenti errori e i dati vengono restituiti: "Connessione riuscita ad ArcSight Logger con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore: "Errore durante l'esecuzione dell'azione "Ping". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Invia query
Invia una query per ottenere informazioni sugli eventi correlati dal gestore dei log degli eventi ArcSight Logger.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Query | Stringa | "" | Sì | Specifica la query da inviare alla ricerca di eventi di ArcSight Logger. |
| Numero massimo di eventi da restituire | Numero intero | 100 | No | Specifica la quantità di eventi da restituire. Il limite è 10.000. Si tratta di una limitazione di ArcSight Logger. |
| Intervallo di tempo | Stringa | 1 ora | No | Specifica l'intervallo di tempo da utilizzare per recuperare gli eventi. Valori possibili: 1 h - 1 ora fa 1 g - 1 giorno fa Nota: non puoi combinare valori diversi, ad esempio 1g2h30m. |
| Campi da recuperare | Valori separati da virgola | Nessuno | No | Specifica i campi da recuperare da ArcSight Logger. Se non viene specificato nulla, vengono restituiti tutti i campi disponibili. |
| Includi dati sugli eventi non elaborati | Casella di controllo | Selezionata | No | Se abilitati, i dati grezzi degli eventi vengono inclusi nella risposta. |
| Solo ricerca locale | Casella di controllo | Deselezionata | No | Indica che la ricerca di eventi di ArcSight Logger è solo locale e non include i peer di ArcSight Logger. Imposta su false se vuoi includere i peer nella ricerca di eventi. |
| Scopri i campi | Casella di controllo | Selezionata | No | Indica che la ricerca di ArcSight Logger deve tentare di scoprire i campi negli eventi trovati. |
| Ordina | Stringa | in senso crescente | No | Specifica il metodo di ordinamento da utilizzare. Valori possibili: in senso crescente in senso decrescente |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"fields": [
{
"name": "_rowId",
"type": "string",
"alias": "_rowId"
},
{
"name": "_raw",
"type": "string",
"alias": "_raw"
},
{
"name": "Event Time",
"type": "date",
"alias": "Event Time"
},
{
"name": "Logger",
"type": "string",
"alias": "Logger"
},
{
"name": "Device",
"type": "string",
"alias": "Device"
},
{
"name": "Receipt Time",
"type": "date",
"alias": "Receipt Time"
},
{
"name": "deviceReceiptTime",
"type": "date",
"alias": "deviceReceiptTime"
},
{
"name": "deviceCustomString2",
"type": "string",
"alias": "deviceCustomString2"
},
{
"name": "destinationAddress",
"type": "string",
"alias": "destinationAddress"
},
{
"name": "deviceCustomNumber3Label",
"type": "string",
"alias": "deviceCustomNumber3Label"
},
{
"name": "globalEventId",
"type": "number",
"alias": "globalEventId"
},
{
"name": "deviceVersion",
"type": "string",
"alias": "deviceVersion"
},
{
"name": "name",
"type": "string",
"alias": "name"
},
{
"name": "deviceAddress",
"type": "string",
"alias": "deviceAddress"
},
{
"name": "deviceVendor",
"type": "string",
"alias": "deviceVendor"
},
{
"name": "Version",
"type": "string",
"alias": "Version"
},
{
"name": "deviceCustomNumber1Label",
"type": "string",
"alias": "deviceCustomNumber1Label"
},
{
"name": "deviceEventCategory",
"type": "string",
"alias": "deviceEventCategory"
},
{
"name": "endTime",
"type": "date",
"alias": "endTime"
},
{
"name": "fileName",
"type": "string",
"alias": "fileName"
},
{
"name": "deviceCustomNumber2",
"type": "number",
"alias": "deviceCustomNumber2"
},
{
"name": "deviceCustomNumber1",
"type": "number",
"alias": "deviceCustomNumber1"
},
{
"name": "baseEventCount",
"type": "number",
"alias": "baseEventCount"
},
{
"name": "startTime",
"type": "date",
"alias": "startTime"
},
{
"name": "deviceCustomNumber3",
"type": "number",
"alias": "deviceCustomNumber3"
},
{
"name": "agentSeverity",
"type": "string",
"alias": "agentSeverity"
},
{
"name": "fsize",
"type": "string",
"alias": "fsize"
},
{
"name": "deviceProduct",
"type": "string",
"alias": "deviceProduct"
},
{
"name": "deviceEventClassId",
"type": "string",
"alias": "deviceEventClassId"
},
{
"name": "deviceCustomNumber2Label",
"type": "string",
"alias": "deviceCustomNumber2Label"
},
{
"name": "deviceCustomString2Label",
"type": "string",
"alias": "deviceCustomString2Label"
},
{
"name": "fileType",
"type": "string",
"alias": "fileType"
}
],
"results": [
[
"4BFEFD-86@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=15 cn1Label=Percent Used cn2=180 cn2Label=retention period (days) cn3=2048 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Default Storage Group fsize=13 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Default Storage Group",
180,
15,
1,
1585661238546,
2048,
"1",
"13",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
],
[
"4BFEFD-87@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=33 cn1Label=Percent Used cn2=365 cn2Label=retention period (days) cn3=1024 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Internal Event Storage Group fsize=3 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Internal Event Storage Group",
365,
33,
1,
1585661238546,
1024,
"1",
"3",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
]
]
}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire o interrompere l'esecuzione di un playbook: >Se lo stato è impostato su "Completato" e il riscontro è maggiore di zero: "Eventi restituiti correttamente per la query "{0}" da ArcSight Logger".format(query) Se lo stato è impostato su "Completato" e l'hit è impostato su 0: (is_success == false): "Non sono stati trovati eventi per la query "{0}" in ArcSight Logger".format(query). >Se lo stato è impostato su errore: "Impossibile eseguire la query "{0}" in ArcSight Logger".format(query). Se il codice di stato è 409 nella prima richiesta: "Impossibile eseguire la query "{0}" in ArcSight Logger. Motivo: {1}".format(query, errors/message from first response)" Messaggio di output asincrono: "Starting processing query {0} in ArcSight Logger".format(query) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile (credenziali errate, errore di connessione, arresto anomalo dell'azione): "Errore durante l'esecuzione dell'azione "Invia query". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella | Nome tabella: {Query} Colonne:tutte le colonne disponibili della risposta. Per ulteriori dettagli, consulta la sezione Comportamento delle azioni. |
Generale |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.