Integrar o ArcSight Logger ao Google SecOps
Este documento explica como integrar o ArcSight Logger ao Google Security Operations (Google SecOps).
Versão da integração: 9.0
Parâmetros de integração
Para instruções detalhadas sobre como configurar uma integração no Google Security Operations, consulte Configurar integrações.
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Endereço do servidor | String | https://<host>:<port> | Sim | O endereço do servidor da instância do ArcSight Logger. |
| Nome de usuário | String | N/A | Sim | Nome de usuário da conta do ArcSight Logger. |
| Senha | Senha | N/A | Sim | A senha da conta do ArcSight Logger. |
| Verificar SSL | Caixa de seleção | Desmarcado | Não | Se ativada, verifique se o certificado SSL da conexão com o servidor do ArcSight Logger é válido. |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
Ping
Teste a conectividade com o ArcSight Logger usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Parâmetros
N/A
Data de execução
A ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se não houver erros e dados retornados: "Conexão estabelecida com o ArcSight Logger usando os parâmetros fornecidos" A ação precisa falhar e interromper a execução de um playbook: Se um erro for informado: "Erro ao executar a ação "Ping". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Enviar consulta
Envie uma consulta para receber informações sobre eventos relacionados do gerenciador de registros de eventos do ArcSight Logger.
Parâmetros
| Nome do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Consulta | String | "" | Sim | Especifique a consulta a ser enviada para a pesquisa de eventos do ArcSight Logger. |
| Número máximo de eventos a serem retornados | Número inteiro | 100 | Não | Especifique a quantidade de eventos a serem retornados. O limite é 10.000. Essa é uma limitação do ArcSight Logger. |
| Período | String | 1h | Não | Especifique o período que será usado para buscar eventos. Valores possíveis: 1h - 1 hora atrás 1d - 1 dia atrás Observação: não é possível combinar valores diferentes, como 1d2h30m. |
| Campos a serem buscados | Valores separados por vírgulas | Nenhum | Não | Especifique quais campos buscar no ArcSight Logger. Se nada for especificado, todos os campos disponíveis serão retornados. |
| Incluir dados brutos de eventos | Caixa de seleção | Selecionado | Não | Se ativados, os dados de eventos brutos serão incluídos na resposta. |
| Somente pesquisa local | Caixa de seleção | Desmarcado | Não | Indica que a pesquisa de eventos do ArcSight Logger é apenas local e não inclui peers do ArcSight Logger. Defina como "false" se quiser incluir usuários semelhantes na pesquisa de eventos. |
| Descobrir campos | Caixa de seleção | Selecionado | Não | Indica que a pesquisa do ArcSight Logger deve tentar descobrir campos nos eventos encontrados. |
| Ordenar | String | ordem crescente | Não | Especifique qual método de classificação usar. Valores possíveis: ordem crescente ordem decrescente |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"fields": [
{
"name": "_rowId",
"type": "string",
"alias": "_rowId"
},
{
"name": "_raw",
"type": "string",
"alias": "_raw"
},
{
"name": "Event Time",
"type": "date",
"alias": "Event Time"
},
{
"name": "Logger",
"type": "string",
"alias": "Logger"
},
{
"name": "Device",
"type": "string",
"alias": "Device"
},
{
"name": "Receipt Time",
"type": "date",
"alias": "Receipt Time"
},
{
"name": "deviceReceiptTime",
"type": "date",
"alias": "deviceReceiptTime"
},
{
"name": "deviceCustomString2",
"type": "string",
"alias": "deviceCustomString2"
},
{
"name": "destinationAddress",
"type": "string",
"alias": "destinationAddress"
},
{
"name": "deviceCustomNumber3Label",
"type": "string",
"alias": "deviceCustomNumber3Label"
},
{
"name": "globalEventId",
"type": "number",
"alias": "globalEventId"
},
{
"name": "deviceVersion",
"type": "string",
"alias": "deviceVersion"
},
{
"name": "name",
"type": "string",
"alias": "name"
},
{
"name": "deviceAddress",
"type": "string",
"alias": "deviceAddress"
},
{
"name": "deviceVendor",
"type": "string",
"alias": "deviceVendor"
},
{
"name": "Version",
"type": "string",
"alias": "Version"
},
{
"name": "deviceCustomNumber1Label",
"type": "string",
"alias": "deviceCustomNumber1Label"
},
{
"name": "deviceEventCategory",
"type": "string",
"alias": "deviceEventCategory"
},
{
"name": "endTime",
"type": "date",
"alias": "endTime"
},
{
"name": "fileName",
"type": "string",
"alias": "fileName"
},
{
"name": "deviceCustomNumber2",
"type": "number",
"alias": "deviceCustomNumber2"
},
{
"name": "deviceCustomNumber1",
"type": "number",
"alias": "deviceCustomNumber1"
},
{
"name": "baseEventCount",
"type": "number",
"alias": "baseEventCount"
},
{
"name": "startTime",
"type": "date",
"alias": "startTime"
},
{
"name": "deviceCustomNumber3",
"type": "number",
"alias": "deviceCustomNumber3"
},
{
"name": "agentSeverity",
"type": "string",
"alias": "agentSeverity"
},
{
"name": "fsize",
"type": "string",
"alias": "fsize"
},
{
"name": "deviceProduct",
"type": "string",
"alias": "deviceProduct"
},
{
"name": "deviceEventClassId",
"type": "string",
"alias": "deviceEventClassId"
},
{
"name": "deviceCustomNumber2Label",
"type": "string",
"alias": "deviceCustomNumber2Label"
},
{
"name": "deviceCustomString2Label",
"type": "string",
"alias": "deviceCustomString2Label"
},
{
"name": "fileType",
"type": "string",
"alias": "fileType"
}
],
"results": [
[
"4BFEFD-86@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=15 cn1Label=Percent Used cn2=180 cn2Label=retention period (days) cn3=2048 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Default Storage Group fsize=13 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Default Storage Group",
180,
15,
1,
1585661238546,
2048,
"1",
"13",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
],
[
"4BFEFD-87@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=33 cn1Label=Percent Used cn2=365 cn2Label=retention period (days) cn3=1024 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Internal Event Storage Group fsize=3 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Internal Event Storage Group",
365,
33,
1,
1585661238546,
1024,
"1",
"3",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
]
]
}
Painel de casos
| Tipo de resultado | Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: >Se o status for definido como "concluído" e o hit for maior que zero: "Successfully returned events for query "{0}" from the ArcSight Logger".format(query) Se o status for "concluído" e o hit for definido como 0: (is_success == false): "Não foram encontrados eventos para a consulta "{0}" no ArcSight Logger".format(query). >Se o status for definido como erro: "Não foi possível executar a consulta "{0}" no ArcSight Logger".format(query). Se o código de status for 409 na primeira solicitação: "Não foi possível executar a consulta "{0}" no ArcSight Logger. Motivo: {1}".format(query, errors/message from first response)" Mensagem de saída assíncrona: "Iniciando o processamento da consulta {0} no ArcSight Logger".format(query) A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal (credenciais incorretas, erro de conexão, falha na ação) for informado: "Erro ao executar a ação "Enviar consulta". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela | Nome da tabela: {Query} Colunas:todas as colunas disponíveis na resposta. Consulte a seção "Comportamento de ação" para mais detalhes. |
Geral |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.