ArcSight Logger を Google SecOps と統合する
このドキュメントでは、ArcSight Logger を Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 9.0
統合のパラメータ
Google Security Operations で統合を構成する手順の詳細については、統合を構成するをご覧ください。
次のパラメータを使用して統合を構成します。
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| サーバー アドレス | 文字列 | https://<host>:<port> | ○ | ArcSight Logger インスタンスのサーバー アドレス。 |
| ユーザー名 | 文字列 | なし | ○ | ArcSight Logger アカウントのユーザー名。 |
| パスワード | パスワード | なし | ○ | ArcSight Logger アカウントのパスワード。 |
| SSL を確認 | チェックボックス | オフ | いいえ | 有効になっている場合は、ArcSight Logger サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
アクション
Ping
Google Security Operations の [Marketplace] タブの統合構成ページで提供されるパラメータを使用して、ArcSight Logger への接続をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
Case Wall
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 エラーがなく、データが返された場合:「指定された接続パラメータを使用して ArcSight Logger に正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 エラーが報告された場合: 「"Ping" という操作の実行中にエラーが発生しました。理由: {0}''.format(error.Stacktrace) |
一般 |
送信クエリ
クエリを送信して、ArcSight Logger イベント ログ マネージャーから関連イベントに関する情報を取得します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| クエリ | 文字列 | "" | ○ | ArcSight Logger イベント検索に送信するクエリを指定します。 |
| 返されるイベントの最大数 | 整数 | 100 | いいえ | 返すイベントの量を指定します。 上限 は 10,000 これは ArcSight Logger の制限です。 |
| 期間 | 文字列 | 1 時間 | いいえ | イベントの取得に使用する期間を指定します。 有効な値: 1 時間~ 1 時間前 1 日~ 1 日前 注: 1d2h30m のように異なる値を組み合わせることはできません。 |
| 取得するフィールド | カンマ区切り | なし | いいえ | ArcSight Logger から取得するフィールドを指定します。何も指定しない場合は、使用可能なすべてのフィールドが返されます。 |
| 未加工のイベントデータを含める | チェックボックス | オン | いいえ | 有効にすると、未加工のイベントデータがレスポンスに含まれます。 |
| ローカル検索のみ | チェックボックス | オフ | いいえ | ArcSight Logger イベント検索がローカルのみで、ArcSight Logger ピアが含まれていないことを示します。イベント検索にピアを含める場合は、false に設定します。 |
| フィールドを検出する | チェックボックス | オン | いいえ | ArcSight Logger の検索で、検出されたイベントのフィールドを検出する必要があることを示します。 |
| 並べ替え | 文字列 | 昇順 | いいえ | 使用する並べ替え方法を指定します。 値は次のいずれかです。 昇順 降順 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"fields": [
{
"name": "_rowId",
"type": "string",
"alias": "_rowId"
},
{
"name": "_raw",
"type": "string",
"alias": "_raw"
},
{
"name": "Event Time",
"type": "date",
"alias": "Event Time"
},
{
"name": "Logger",
"type": "string",
"alias": "Logger"
},
{
"name": "Device",
"type": "string",
"alias": "Device"
},
{
"name": "Receipt Time",
"type": "date",
"alias": "Receipt Time"
},
{
"name": "deviceReceiptTime",
"type": "date",
"alias": "deviceReceiptTime"
},
{
"name": "deviceCustomString2",
"type": "string",
"alias": "deviceCustomString2"
},
{
"name": "destinationAddress",
"type": "string",
"alias": "destinationAddress"
},
{
"name": "deviceCustomNumber3Label",
"type": "string",
"alias": "deviceCustomNumber3Label"
},
{
"name": "globalEventId",
"type": "number",
"alias": "globalEventId"
},
{
"name": "deviceVersion",
"type": "string",
"alias": "deviceVersion"
},
{
"name": "name",
"type": "string",
"alias": "name"
},
{
"name": "deviceAddress",
"type": "string",
"alias": "deviceAddress"
},
{
"name": "deviceVendor",
"type": "string",
"alias": "deviceVendor"
},
{
"name": "Version",
"type": "string",
"alias": "Version"
},
{
"name": "deviceCustomNumber1Label",
"type": "string",
"alias": "deviceCustomNumber1Label"
},
{
"name": "deviceEventCategory",
"type": "string",
"alias": "deviceEventCategory"
},
{
"name": "endTime",
"type": "date",
"alias": "endTime"
},
{
"name": "fileName",
"type": "string",
"alias": "fileName"
},
{
"name": "deviceCustomNumber2",
"type": "number",
"alias": "deviceCustomNumber2"
},
{
"name": "deviceCustomNumber1",
"type": "number",
"alias": "deviceCustomNumber1"
},
{
"name": "baseEventCount",
"type": "number",
"alias": "baseEventCount"
},
{
"name": "startTime",
"type": "date",
"alias": "startTime"
},
{
"name": "deviceCustomNumber3",
"type": "number",
"alias": "deviceCustomNumber3"
},
{
"name": "agentSeverity",
"type": "string",
"alias": "agentSeverity"
},
{
"name": "fsize",
"type": "string",
"alias": "fsize"
},
{
"name": "deviceProduct",
"type": "string",
"alias": "deviceProduct"
},
{
"name": "deviceEventClassId",
"type": "string",
"alias": "deviceEventClassId"
},
{
"name": "deviceCustomNumber2Label",
"type": "string",
"alias": "deviceCustomNumber2Label"
},
{
"name": "deviceCustomString2Label",
"type": "string",
"alias": "deviceCustomString2Label"
},
{
"name": "fileType",
"type": "string",
"alias": "fileType"
}
],
"results": [
[
"4BFEFD-86@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=15 cn1Label=Percent Used cn2=180 cn2Label=retention period (days) cn3=2048 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Default Storage Group fsize=13 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Default Storage Group",
180,
15,
1,
1585661238546,
2048,
"1",
"13",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
],
[
"4BFEFD-87@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=33 cn1Label=Percent Used cn2=365 cn2Label=retention period (days) cn3=1024 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Internal Event Storage Group fsize=3 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Internal Event Storage Group",
365,
33,
1,
1585661238546,
1024,
"1",
"3",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
]
]
}
Case Wall
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 >ステータスが「完了」に設定され、ヒット数が 0 より大きい場合: 「ArcSight Logger からクエリ「{0}」のイベントが正常に返されました」.format(query) ステータスが「完了」に設定され、ヒット数が 0 に設定されている場合(is_success == false): 「ArcSight Logger でクエリ「{0}」のイベントが見つかりませんでした」.format(query)。 >ステータスがエラーに設定されている場合: 「ArcSight Logger でクエリ「{0}」を実行できません」.format(query)。 最初のリクエストでステータス コードが 409 の場合:「ArcSight Logger でクエリ「{0}」を実行できません。理由: {1}".format(クエリ, 最初のレスポンスからのエラー/メッセージ)" 非同期出力メッセージ: 「ArcSight Logger でクエリ {0} の処理を開始しています」.format(query) アクションが失敗し、ハンドブックの実行が停止します。 致命的なエラー(認証情報の誤り、接続エラー、アクションのクラッシュ)が報告された場合: 「アクション「クエリを送信」の実行エラー。理由: {0}''.format(error.Stacktrace) |
一般 |
| Table | テーブル名: {Query} 列: レスポンスから返されたすべての列。詳しくは、アクションの動作のセクションをご覧ください。 |
全般 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。