Integrare ArcSight Logger con Google SecOps
Questo documento spiega come integrare ArcSight Logger con Google Security Operations (Google SecOps).
Parametri di integrazione
Per istruzioni dettagliate su come configurare un'integrazione in Google Security Operations, vedi Configurare le integrazioni.
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Indirizzo del server | Stringa | https://<host>:<port> | Sì | L'indirizzo del server dell'istanza di ArcSight Logger. |
| Nome utente | Stringa | N/D | Sì | Nome utente dell'account ArcSight Logger. |
| Password | Password | N/D | Sì | La password dell'account ArcSight Logger. |
| Verifica SSL | Casella di controllo | Deselezionata | No | Se abilitato, verifica che il certificato SSL per la connessione al server ArcSight Logger sia valido. |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
Dindin
Verifica la connettività ad ArcSight Logger con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Pubblica su
L'azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire o interrompere l'esecuzione di un playbook: Se non sono presenti errori e i dati vengono restituiti: "Connessione riuscita ad ArcSight Logger con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore: "Errore durante l'esecuzione dell'azione "Ping". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Invia query
Invia una query per ottenere informazioni sugli eventi correlati dal gestore dei log degli eventi ArcSight Logger.
Parametri
| Nome parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Query | Stringa | "" | Sì | Specifica la query da inviare alla ricerca di eventi di ArcSight Logger. |
| Numero massimo di eventi da restituire | Numero intero | 100 | No | Specifica la quantità di eventi da restituire. Il limite è 10.000. Si tratta di una limitazione di ArcSight Logger. |
| Intervallo di tempo | Stringa | 1 ora | No | Specifica l'intervallo di tempo da utilizzare per recuperare gli eventi. Valori possibili: 1 h - 1 ora fa 1 g - 1 giorno fa Nota: non puoi combinare valori diversi, ad esempio 1g2h30m. |
| Campi da recuperare | Valori separati da virgola | Nessuno | No | Specifica i campi da recuperare da ArcSight Logger. Se non viene specificato nulla, verranno restituiti tutti i campi disponibili. |
| Includi dati sugli eventi non elaborati | Casella di controllo | Selezionata | No | Se abilitati, i dati degli eventi non elaborati vengono inclusi nella risposta. |
| Solo ricerca locale | Casella di controllo | Deselezionata | No | Indica che la ricerca di eventi di ArcSight Logger è solo locale e non include i peer di ArcSight Logger. Imposta su false se vuoi includere i peer nella ricerca di eventi. |
| Scopri campi | Casella di controllo | Selezionata | No | Indica che la ricerca di ArcSight Logger deve tentare di scoprire i campi negli eventi trovati. |
| Ordina | Stringa | in senso crescente | No | Specifica il metodo di ordinamento da utilizzare. Valori possibili: in senso crescente in senso decrescente |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato dello script
| Nome del risultato dello script | Opzioni del valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"fields": [
{
"name": "_rowId",
"type": "string",
"alias": "_rowId"
},
{
"name": "_raw",
"type": "string",
"alias": "_raw"
},
{
"name": "Event Time",
"type": "date",
"alias": "Event Time"
},
{
"name": "Logger",
"type": "string",
"alias": "Logger"
},
{
"name": "Device",
"type": "string",
"alias": "Device"
},
{
"name": "Receipt Time",
"type": "date",
"alias": "Receipt Time"
},
{
"name": "deviceReceiptTime",
"type": "date",
"alias": "deviceReceiptTime"
},
{
"name": "deviceCustomString2",
"type": "string",
"alias": "deviceCustomString2"
},
{
"name": "destinationAddress",
"type": "string",
"alias": "destinationAddress"
},
{
"name": "deviceCustomNumber3Label",
"type": "string",
"alias": "deviceCustomNumber3Label"
},
{
"name": "globalEventId",
"type": "number",
"alias": "globalEventId"
},
{
"name": "deviceVersion",
"type": "string",
"alias": "deviceVersion"
},
{
"name": "name",
"type": "string",
"alias": "name"
},
{
"name": "deviceAddress",
"type": "string",
"alias": "deviceAddress"
},
{
"name": "deviceVendor",
"type": "string",
"alias": "deviceVendor"
},
{
"name": "Version",
"type": "string",
"alias": "Version"
},
{
"name": "deviceCustomNumber1Label",
"type": "string",
"alias": "deviceCustomNumber1Label"
},
{
"name": "deviceEventCategory",
"type": "string",
"alias": "deviceEventCategory"
},
{
"name": "endTime",
"type": "date",
"alias": "endTime"
},
{
"name": "fileName",
"type": "string",
"alias": "fileName"
},
{
"name": "deviceCustomNumber2",
"type": "number",
"alias": "deviceCustomNumber2"
},
{
"name": "deviceCustomNumber1",
"type": "number",
"alias": "deviceCustomNumber1"
},
{
"name": "baseEventCount",
"type": "number",
"alias": "baseEventCount"
},
{
"name": "startTime",
"type": "date",
"alias": "startTime"
},
{
"name": "deviceCustomNumber3",
"type": "number",
"alias": "deviceCustomNumber3"
},
{
"name": "agentSeverity",
"type": "string",
"alias": "agentSeverity"
},
{
"name": "fsize",
"type": "string",
"alias": "fsize"
},
{
"name": "deviceProduct",
"type": "string",
"alias": "deviceProduct"
},
{
"name": "deviceEventClassId",
"type": "string",
"alias": "deviceEventClassId"
},
{
"name": "deviceCustomNumber2Label",
"type": "string",
"alias": "deviceCustomNumber2Label"
},
{
"name": "deviceCustomString2Label",
"type": "string",
"alias": "deviceCustomString2Label"
},
{
"name": "fileType",
"type": "string",
"alias": "fileType"
}
],
"results": [
[
"4BFEFD-86@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=15 cn1Label=Percent Used cn2=180 cn2Label=retention period (days) cn3=2048 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Default Storage Group fsize=13 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Default Storage Group",
180,
15,
1,
1585661238546,
2048,
"1",
"13",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
],
[
"4BFEFD-87@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=33 cn1Label=Percent Used cn2=365 cn2Label=retention period (days) cn3=1024 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Internal Event Storage Group fsize=3 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Internal Event Storage Group",
365,
33,
1,
1585661238546,
1024,
"1",
"3",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
]
]
}
Bacheca casi
| Tipo di risultato | Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire o interrompere l'esecuzione di un playbook: >Se lo stato è impostato su "Completato" e il numero di hit è maggiore di zero: "Eventi restituiti correttamente per la query "{0}" da ArcSight Logger".format(query) Se lo stato è impostato su "Completato" e l'hit è impostato su 0: (is_success == false): "Non sono stati trovati eventi per la query "{0}" in ArcSight Logger".format(query). >Se lo stato è impostato su errore: "Impossibile eseguire la query "{0}" in ArcSight Logger".format(query). Se il codice di stato è 409 nella prima richiesta: "Impossibile eseguire la query "{0}" in ArcSight Logger. Motivo: {1}".format(query, errors/message from first response)" Messaggio di output asincrono: "Starting processing query {0} in ArcSight Logger".format(query) L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile (credenziali errate, errore di connessione, arresto anomalo dell'azione): "Errore durante l'esecuzione dell'azione "Invia query". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella | Nome tabella: {Query} Colonne:tutte le colonne disponibili della risposta. Per ulteriori dettagli, consulta la sezione Comportamento delle azioni. |
Generale |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.