ArcSight Logger와 Google SecOps 통합
이 문서에서는 ArcSight Logger를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.
통합 버전: 9.0
통합 매개변수
Google Security Operations에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| 서버 주소 | 문자열 | https://<호스트>:<포트> | 예 | ArcSight Logger 인스턴스의 서버 주소입니다. |
| 사용자 이름 | 문자열 | 해당 사항 없음 | 예 | ArcSight Logger 계정의 사용자 이름입니다. |
| 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | ArcSight Logger 계정의 비밀번호입니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 아니요 | 사용 설정하면 ArcSight Logger 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
핑
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 ArcSight Logger에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 오류가 없고 반환된 데이터가 있는 경우: '제공된 연결 매개변수를 사용하여 ArcSight Logger에 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 오류가 보고된 경우: "Error executing action "Ping". 이유: {0}'.format(error.Stacktrace) |
일반 |
쿼리 보내기
ArcSight Logger 이벤트 로그 관리자에서 관련 이벤트에 관한 정보를 가져오기 위해 쿼리를 전송합니다.
매개변수
| 매개변수 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 쿼리 | 문자열 | "" | 예 | ArcSight Logger 이벤트 검색에 전송할 쿼리를 지정합니다. |
| 반환할 최대 이벤트 수 | 정수 | 100 | 아니요 | 반환할 이벤트 수를 지정합니다. 한도는 10,000입니다. 이는 ArcSight Logger 제한사항입니다. |
| 기간 | 문자열 | 1시간 | 아니요 | 이벤트를 가져오는 데 사용할 기간을 지정합니다. 가능한 값: 1시간 - 1시간 전 1d - 1일 전 참고: 1d2h30m과 같이 서로 다른 값을 조합할 수는 없습니다. |
| 가져올 필드 | 쉼표로 구분된 값 | 없음 | 아니요 | ArcSight Logger에서 가져올 필드를 지정합니다. 아무것도 지정하지 않으면 사용 가능한 모든 필드가 반환됩니다. |
| 원시 이벤트 데이터 포함 | 체크박스 | 선택 | 아니요 | 사용 설정하면 원시 이벤트 데이터가 응답에 포함됩니다. |
| 지역 검색만 | 체크박스 | 선택 해제 | 아니요 | ArcSight Logger 이벤트 검색이 로컬 전용이며 ArcSight Logger 피어가 포함되지 않음을 나타냅니다. 이벤트 검색에 동료를 포함하려면 false로 설정합니다. |
| 필드 탐색 | 체크박스 | 선택 | 아니요 | ArcSight Logger 검색에서 발견된 이벤트의 필드를 검색해야 함을 나타냅니다. |
| 정렬 | 문자열 | 오름차순 | 아니요 | 사용할 정렬 방법을 지정합니다. 가능한 값은 다음과 같습니다. 오름차순 내림차순 |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"fields": [
{
"name": "_rowId",
"type": "string",
"alias": "_rowId"
},
{
"name": "_raw",
"type": "string",
"alias": "_raw"
},
{
"name": "Event Time",
"type": "date",
"alias": "Event Time"
},
{
"name": "Logger",
"type": "string",
"alias": "Logger"
},
{
"name": "Device",
"type": "string",
"alias": "Device"
},
{
"name": "Receipt Time",
"type": "date",
"alias": "Receipt Time"
},
{
"name": "deviceReceiptTime",
"type": "date",
"alias": "deviceReceiptTime"
},
{
"name": "deviceCustomString2",
"type": "string",
"alias": "deviceCustomString2"
},
{
"name": "destinationAddress",
"type": "string",
"alias": "destinationAddress"
},
{
"name": "deviceCustomNumber3Label",
"type": "string",
"alias": "deviceCustomNumber3Label"
},
{
"name": "globalEventId",
"type": "number",
"alias": "globalEventId"
},
{
"name": "deviceVersion",
"type": "string",
"alias": "deviceVersion"
},
{
"name": "name",
"type": "string",
"alias": "name"
},
{
"name": "deviceAddress",
"type": "string",
"alias": "deviceAddress"
},
{
"name": "deviceVendor",
"type": "string",
"alias": "deviceVendor"
},
{
"name": "Version",
"type": "string",
"alias": "Version"
},
{
"name": "deviceCustomNumber1Label",
"type": "string",
"alias": "deviceCustomNumber1Label"
},
{
"name": "deviceEventCategory",
"type": "string",
"alias": "deviceEventCategory"
},
{
"name": "endTime",
"type": "date",
"alias": "endTime"
},
{
"name": "fileName",
"type": "string",
"alias": "fileName"
},
{
"name": "deviceCustomNumber2",
"type": "number",
"alias": "deviceCustomNumber2"
},
{
"name": "deviceCustomNumber1",
"type": "number",
"alias": "deviceCustomNumber1"
},
{
"name": "baseEventCount",
"type": "number",
"alias": "baseEventCount"
},
{
"name": "startTime",
"type": "date",
"alias": "startTime"
},
{
"name": "deviceCustomNumber3",
"type": "number",
"alias": "deviceCustomNumber3"
},
{
"name": "agentSeverity",
"type": "string",
"alias": "agentSeverity"
},
{
"name": "fsize",
"type": "string",
"alias": "fsize"
},
{
"name": "deviceProduct",
"type": "string",
"alias": "deviceProduct"
},
{
"name": "deviceEventClassId",
"type": "string",
"alias": "deviceEventClassId"
},
{
"name": "deviceCustomNumber2Label",
"type": "string",
"alias": "deviceCustomNumber2Label"
},
{
"name": "deviceCustomString2Label",
"type": "string",
"alias": "deviceCustomString2Label"
},
{
"name": "fileType",
"type": "string",
"alias": "fileType"
}
],
"results": [
[
"4BFEFD-86@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=15 cn1Label=Percent Used cn2=180 cn2Label=retention period (days) cn3=2048 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Default Storage Group fsize=13 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Default Storage Group",
180,
15,
1,
1585661238546,
2048,
"1",
"13",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
],
[
"4BFEFD-87@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=33 cn1Label=Percent Used cn2=365 cn2Label=retention period (days) cn3=1024 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Internal Event Storage Group fsize=3 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Internal Event Storage Group",
365,
33,
1,
1585661238546,
1024,
"1",
"3",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
]
]
}
케이스 월
| 결과 유형 | 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. >상태가 '완료됨'으로 설정되고 조회수가 0보다 큰 경우: 'ArcSight Logger에서 '{0}' 쿼리에 대한 이벤트를 반환했습니다.'.format(query) 상태가 '완료됨'으로 설정되고 조회수가 0으로 설정된 경우(is_success == false): 'ArcSight Logger에서 '{0}' 쿼리에 대한 이벤트가 없습니다.'.format(query) >상태가 오류로 설정된 경우: 'ArcSight Logger에서 '{0}' 쿼리를 실행할 수 없습니다.'.format(query) 첫 번째 요청에서 상태 코드가 409인 경우: 'ArcSight Logger에서 '{0}' 쿼리를 실행할 수 없습니다. 이유: {1}".format(query, errors/message from first response)" 비동기 출력 메시지: 'ArcSight Logger에서 {0} 쿼리 처리를 시작합니다'.format(query) 작업이 실패하고 플레이북 실행을 중지합니다. 치명적인 오류 (잘못된 사용자 인증 정보, 연결 오류, 작업 비정상 종료)가 보고되는 경우: ''질문 보내기' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
| 표 | 테이블 이름: {질문} 열: 응답에서 사용 가능한 모든 열입니다. 자세한 내용은 작업 동작 섹션을 참고하세요. |
일반 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.