此页面由 Cloud Translation API 翻译。

将 ArcSight Logger 与 Google SecOps 集成

本文档介绍了如何将 ArcSight Logger 与 Google Security Operations (Google SecOps) 集成。

集成版本：9.0

集成参数

有关如何在 Google Security Operations 中配置集成的详细说明，请参阅配置集成。

使用以下参数配置集成：

参数名称	类型	默认值	为必需参数	说明
实例名称	字符串	不适用	否	您打算为其配置集成的实例的名称。
说明	字符串	不适用	否	实例的说明。
服务器地址	字符串	https://<host>:<port>	是	ArcSight Logger 实例的服务器地址。
用户名	字符串	不适用	是	ArcSight Logger 账号的用户名。
密码	密码	不适用	是	ArcSight Logger 账号的密码。
验证 SSL	复选框	尚未核查	否	如果启用，则验证与 ArcSight Logger 服务器的连接的 SSL 证书是否有效。
远程运行	复选框	尚未核查	否	选中此字段，以便远程运行配置的集成。选中后，系统会显示用于选择远程用户（客服人员）的选项。

操作

Ping

使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数，测试与 ArcSight Logger 的连接。

参数

不适用

运行于

该操作不会在实体上运行。

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

案例墙

结果类型	说明	类型
输出消息*	操作不应失败或停止 playbook 执行：如果没有错误且返回了数据：“已使用提供的连接参数成功连接到 ArcSight Logger！” 操作应失败并停止 playbook 执行：如果报告了错误：“Error executing action "Ping". 原因：{0}''.format(error.Stacktrace)	常规

结果类型

说明

类型

输出消息*

操作不应失败或停止 playbook 执行：

如果没有错误且返回了数据：“已使用提供的连接参数成功连接到 ArcSight Logger！”

操作应失败并停止 playbook 执行：

如果报告了错误：“Error executing action "Ping". 原因：{0}''.format(error.Stacktrace)

常规

发送查询

发送查询，以从 ArcSight Logger 事件日志管理器中获取有关相关事件的信息。

参数

参数名称	类型	默认值	为必需参数	说明
查询	字符串	""	是	指定要发送给 ArcSight Logger 事件搜索的查询。
返回的事件数上限	整数	100	否	指定要返回的事件数量。上限为 10000。这是 ArcSight Logger 的限制。
时间范围	字符串	1 小时	否	指定用于提取事件的时间范围。可能的值： 1m - 1 分钟前 1h - 1 小时前 1 天前注意：您无法组合不同的值，例如 1d2h30m。
要提取的字段	逗号分隔值	无	否	指定要从 ArcSight Logger 中提取哪些字段。如果未指定任何内容，则返回所有可用字段。
包含原始事件数据	复选框	勾选	否	如果启用，原始事件数据会包含在响应中。
仅限本地搜索	复选框	尚未核查	否	表示 ArcSight Logger 事件搜索仅限于本地，不包括 ArcSight Logger 对等方。如果您想在活动搜索中包含同级，请设置为 false。
发现字段	复选框	勾选	否	表示 ArcSight Logger 搜索应尝试发现找到的事件中的字段。
排序	字符串	升序	否	指定要使用的排序方法。可能的值：升序降序

运行于

此操作不会在实体上运行。

操作结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

{
  "fields": [
      {
          "name": "_rowId",
          "type": "string",
          "alias": "_rowId"
      },
      {
          "name": "_raw",
          "type": "string",
          "alias": "_raw"
      },
      {
          "name": "Event Time",
          "type": "date",
          "alias": "Event Time"
      },
      {
          "name": "Logger",
          "type": "string",
          "alias": "Logger"
      },
      {
          "name": "Device",
          "type": "string",
          "alias": "Device"
      },
      {
          "name": "Receipt Time",
          "type": "date",
          "alias": "Receipt Time"
      },
      {
          "name": "deviceReceiptTime",
          "type": "date",
          "alias": "deviceReceiptTime"
      },
      {
          "name": "deviceCustomString2",
          "type": "string",
          "alias": "deviceCustomString2"
      },
      {
          "name": "destinationAddress",
          "type": "string",
          "alias": "destinationAddress"
      },
      {
          "name": "deviceCustomNumber3Label",
          "type": "string",
          "alias": "deviceCustomNumber3Label"
      },
      {
          "name": "globalEventId",
          "type": "number",
          "alias": "globalEventId"
      },
      {
          "name": "deviceVersion",
          "type": "string",
          "alias": "deviceVersion"
      },
      {
          "name": "name",
          "type": "string",
          "alias": "name"
      },
      {
          "name": "deviceAddress",
          "type": "string",
          "alias": "deviceAddress"
      },
      {
          "name": "deviceVendor",
          "type": "string",
          "alias": "deviceVendor"
      },
      {
          "name": "Version",
          "type": "string",
          "alias": "Version"
      },
      {
          "name": "deviceCustomNumber1Label",
          "type": "string",
          "alias": "deviceCustomNumber1Label"
      },
      {
          "name": "deviceEventCategory",
          "type": "string",
          "alias": "deviceEventCategory"
      },
      {
          "name": "endTime",
          "type": "date",
          "alias": "endTime"
      },
      {
          "name": "fileName",
          "type": "string",
          "alias": "fileName"
      },
      {
          "name": "deviceCustomNumber2",
          "type": "number",
          "alias": "deviceCustomNumber2"
      },
      {
          "name": "deviceCustomNumber1",
          "type": "number",
          "alias": "deviceCustomNumber1"
      },
      {
          "name": "baseEventCount",
          "type": "number",
          "alias": "baseEventCount"
      },
      {
          "name": "startTime",
          "type": "date",
          "alias": "startTime"
      },
      {
          "name": "deviceCustomNumber3",
          "type": "number",
          "alias": "deviceCustomNumber3"
      },
      {
          "name": "agentSeverity",
          "type": "string",
          "alias": "agentSeverity"
      },
      {
          "name": "fsize",
          "type": "string",
          "alias": "fsize"
      },
      {
          "name": "deviceProduct",
          "type": "string",
          "alias": "deviceProduct"
      },
      {
          "name": "deviceEventClassId",
          "type": "string",
          "alias": "deviceEventClassId"
      },
      {
          "name": "deviceCustomNumber2Label",
          "type": "string",
          "alias": "deviceCustomNumber2Label"
      },
      {
          "name": "deviceCustomString2Label",
          "type": "string",
          "alias": "deviceCustomString2Label"
      },
      {
          "name": "fileType",
          "type": "string",
          "alias": "fileType"
      }
  ],
  "results": [
      [
          "4BFEFD-86@Local",
          "CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=15 cn1Label=Percent Used cn2=180 cn2Label=retention period (days) cn3=2048 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Default Storage Group fsize=13 geid=0 rt=1585661238546",
          1585661238546,
          "Local",
          "Logger",
          1585661364960,
          1585661238546,
          "CurrentValue",
          "10.0.2.185",
          "used (MB)",
          0,
          "7.0.0.8280.0",
          "Storage Group Space Used",
          "10.0.2.185",
          "ArcSight",
          "0",
          "Percent Used",
          "/Monitor/StorageGroup/Space/Used",
          1585661238546,
          "Default Storage Group",
          180,
          15,
          1,
          1585661238546,
          2048,
          "1",
          "13",
          "Logger",
          "storagegroup:100",
          "retention period (days)",
          "timeframe",
          "storageGroup"
      ],
      [
          "4BFEFD-87@Local",
          "CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=33 cn1Label=Percent Used cn2=365 cn2Label=retention period (days) cn3=1024 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Internal Event Storage Group fsize=3 geid=0 rt=1585661238546",
          1585661238546,
          "Local",
          "Logger",
          1585661364960,
          1585661238546,
          "CurrentValue",
          "10.0.2.185",
          "used (MB)",
          0,
          "7.0.0.8280.0",
          "Storage Group Space Used",
          "10.0.2.185",
          "ArcSight",
          "0",
          "Percent Used",
          "/Monitor/StorageGroup/Space/Used",
          1585661238546,
          "Internal Event Storage Group",
          365,
          33,
          1,
          1585661238546,
          1024,
          "1",
          "3",
          "Logger",
          "storagegroup:100",
          "retention period (days)",
          "timeframe",
          "storageGroup"
      ]
  ]
}

案例墙

结果类型	说明	类型
输出消息*	操作不应失败或停止 playbook 执行： >如果状态设置为“已完成”且命中数大于零：“已成功从 ArcSight Logger 返回查询 "{0}" 的事件”。format(query) 如果状态设置为“已完成”，并且命中次数设置为 0：(is_success == false)：“在 ArcSight Logger 中未找到针对查询‘{0}’的事件”。format(query)。 >如果状态设置为错误：“无法在 ArcSight Logger 中执行查询 "{0}"”。format(query)。如果第一个请求中的状态代码为 409：“无法在 ArcSight Logger 中执行查询 "{0}"。Reason: {1}".format(query, errors/message from first response)" 异步输出消息：“Starting processing query {0} in ArcSight Logger”.format(query) 操作应失败并停止 playbook 执行：如果报告了致命错误（凭据错误、连接错误、操作崩溃）：“Error executing action "Send Query". 原因：{0}''.format(error.Stacktrace)	常规
表	表名称：{Query} 列：响应中的所有可用列。如需了解详情，请参阅“操作行为”部分。	常规

结果类型

说明

类型

输出消息*

操作不应失败或停止 playbook 执行：

>如果状态设置为“已完成”且命中数大于零：“已成功从 ArcSight Logger 返回查询 "{0}" 的事件”。format(query)

如果状态设置为“已完成”，并且命中次数设置为 0：(is_success == false)：“在 ArcSight Logger 中未找到针对查询‘{0}’的事件”。format(query)。

>如果状态设置为错误：“无法在 ArcSight Logger 中执行查询 "{0}"”。format(query)。

如果第一个请求中的状态代码为 409：“无法在 ArcSight Logger 中执行查询 "{0}"。Reason: {1}".format(query, errors/message from first response)"

异步输出消息：“Starting processing query {0} in ArcSight Logger”.format(query)

操作应失败并停止 playbook 执行：

如果报告了致命错误（凭据错误、连接错误、操作崩溃）：“Error executing action "Send Query". 原因：{0}''.format(error.Stacktrace)

常规

表

表名称：{Query}

列：响应中的所有可用列。如需了解详情，请参阅“操作行为”部分。

常规