Integre o ArcSight Logger com o Google SecOps
Este documento explica como integrar o ArcSight Logger com o Google Security Operations (Google SecOps).
Versão da integração: 9.0
Parâmetros de integração
Para obter instruções detalhadas sobre como configurar uma integração no Google Security Operations, consulte o artigo Configurar integrações.
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Endereço do servidor | String | https://<host>:<port> | Sim | O endereço do servidor da instância do ArcSight Logger. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do ArcSight Logger. |
| Palavra-passe | Palavra-passe | N/A | Sim | A palavra-passe da conta do ArcSight Logger. |
| Validar SSL | Caixa de verificação | Desmarcado | Não | Se estiver ativado, verifique se o certificado SSL para a ligação ao servidor ArcSight Logger é válido. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Tchim-tchim
Teste a conetividade ao ArcSight Logger com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
É apresentado em
A ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se não existirem erros e os dados forem devolvidos: "Ligação estabelecida com êxito ao ArcSight Logger com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro: "Erro ao executar a ação "Ping". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Enviar consulta
Envie uma consulta para receber informações sobre eventos relacionados do gestor de registos de eventos do ArcSight Logger.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Consulta | String | "" | Sim | Especifique a consulta a enviar para a pesquisa de eventos do ArcSight Logger. |
| Máximo de eventos a devolver | Número inteiro | 100 | Não | Especifique a quantidade de eventos a devolver. O limite é 10 000. Esta é uma limitação do ArcSight Logger. |
| Intervalo de tempo | String | 1h | Não | Especifique o intervalo de tempo que vai ser usado para obter eventos. Valores possíveis: 1 h – Há 1 hora 1d – Há 1 dia Nota: não pode combinar valores diferentes, como 1d2h30m. |
| Campos a obter | Valores separados por vírgulas | Nenhum | Não | Especifique os campos a obter do ArcSight Logger. Se nada for especificado, são devolvidos todos os campos disponíveis. |
| Inclua dados de eventos não processados | Caixa de verificação | Marcado | Não | Se estiver ativada, os dados de eventos não processados são incluídos na resposta. |
| Apenas pesquisa local | Caixa de verificação | Desmarcado | Não | Indica que a pesquisa de eventos do ArcSight Logger é apenas local e não inclui pares do ArcSight Logger. Definido como falso se quiser incluir pares na pesquisa de eventos. |
| Descubra campos | Caixa de verificação | Marcado | Não | Indica que a pesquisa do ArcSight Logger deve tentar descobrir campos nos eventos encontrados. |
| Ordenar | String | ascendente | Não | Especifique o método de ordenação a usar. Valores possíveis: ascendente descendente |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"fields": [
{
"name": "_rowId",
"type": "string",
"alias": "_rowId"
},
{
"name": "_raw",
"type": "string",
"alias": "_raw"
},
{
"name": "Event Time",
"type": "date",
"alias": "Event Time"
},
{
"name": "Logger",
"type": "string",
"alias": "Logger"
},
{
"name": "Device",
"type": "string",
"alias": "Device"
},
{
"name": "Receipt Time",
"type": "date",
"alias": "Receipt Time"
},
{
"name": "deviceReceiptTime",
"type": "date",
"alias": "deviceReceiptTime"
},
{
"name": "deviceCustomString2",
"type": "string",
"alias": "deviceCustomString2"
},
{
"name": "destinationAddress",
"type": "string",
"alias": "destinationAddress"
},
{
"name": "deviceCustomNumber3Label",
"type": "string",
"alias": "deviceCustomNumber3Label"
},
{
"name": "globalEventId",
"type": "number",
"alias": "globalEventId"
},
{
"name": "deviceVersion",
"type": "string",
"alias": "deviceVersion"
},
{
"name": "name",
"type": "string",
"alias": "name"
},
{
"name": "deviceAddress",
"type": "string",
"alias": "deviceAddress"
},
{
"name": "deviceVendor",
"type": "string",
"alias": "deviceVendor"
},
{
"name": "Version",
"type": "string",
"alias": "Version"
},
{
"name": "deviceCustomNumber1Label",
"type": "string",
"alias": "deviceCustomNumber1Label"
},
{
"name": "deviceEventCategory",
"type": "string",
"alias": "deviceEventCategory"
},
{
"name": "endTime",
"type": "date",
"alias": "endTime"
},
{
"name": "fileName",
"type": "string",
"alias": "fileName"
},
{
"name": "deviceCustomNumber2",
"type": "number",
"alias": "deviceCustomNumber2"
},
{
"name": "deviceCustomNumber1",
"type": "number",
"alias": "deviceCustomNumber1"
},
{
"name": "baseEventCount",
"type": "number",
"alias": "baseEventCount"
},
{
"name": "startTime",
"type": "date",
"alias": "startTime"
},
{
"name": "deviceCustomNumber3",
"type": "number",
"alias": "deviceCustomNumber3"
},
{
"name": "agentSeverity",
"type": "string",
"alias": "agentSeverity"
},
{
"name": "fsize",
"type": "string",
"alias": "fsize"
},
{
"name": "deviceProduct",
"type": "string",
"alias": "deviceProduct"
},
{
"name": "deviceEventClassId",
"type": "string",
"alias": "deviceEventClassId"
},
{
"name": "deviceCustomNumber2Label",
"type": "string",
"alias": "deviceCustomNumber2Label"
},
{
"name": "deviceCustomString2Label",
"type": "string",
"alias": "deviceCustomString2Label"
},
{
"name": "fileType",
"type": "string",
"alias": "fileType"
}
],
"results": [
[
"4BFEFD-86@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=15 cn1Label=Percent Used cn2=180 cn2Label=retention period (days) cn3=2048 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Default Storage Group fsize=13 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Default Storage Group",
180,
15,
1,
1585661238546,
2048,
"1",
"13",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
],
[
"4BFEFD-87@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=33 cn1Label=Percent Used cn2=365 cn2Label=retention period (days) cn3=1024 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Internal Event Storage Group fsize=3 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Internal Event Storage Group",
365,
33,
1,
1585661238546,
1024,
"1",
"3",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
]
]
}
Case Wall
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: >Se o estado estiver definido como "concluído" e o resultado for superior a zero: "Successfully returned events for query "{0}" from the ArcSight Logger".format(query) Se o estado estiver definido como "concluído" e o resultado estiver definido como 0: (is_success == false): "Não foram encontrados eventos para a consulta "{0}" no ArcSight Logger".format(query). >Se o estado for definido como erro: "Não é possível executar a consulta "{0}" no ArcSight Logger".format(query). Se o código de estado for 409 no primeiro pedido: "Não é possível executar a consulta "{0}" no ArcSight Logger. Motivo: {1}".format(query, errors/message from first response)" Mensagem de saída assíncrona: "Starting processing query {0} in ArcSight Logger".format(query) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal (credenciais incorretas, erro de ligação, falhas de ações): "Erro ao executar a ação "Enviar consulta". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela | Nome da tabela: {Query} Colunas: todas as colunas disponíveis da resposta. Consulte a secção Comportamento da ação para ver mais detalhes. |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.