本頁面由 Cloud Translation API 翻譯而成。

整合 ArcSight Logger 與 Google SecOps

本文說明如何將 ArcSight Logger 與 Google Security Operations (Google SecOps) 整合。

整合版本：9.0

整合參數

請參閱這篇說明文章，瞭解在 Google Security Operations 中設定整合功能的詳細操作說明。

請使用下列參數設定整合：

參數名稱	類型	預設值	為必填項目	說明
執行個體名稱	字串	不適用	否	您要設定整合的執行個體名稱。
說明	字串	不適用	否	執行個體的說明。
伺服器位址	字串	https://<host>:<port>	是	ArcSight Logger 執行個體的伺服器位址。
使用者名稱	字串	不適用	是	ArcSight Logger 帳戶的使用者名稱。
密碼	密碼	不適用	是	ArcSight Logger 帳戶的密碼。
驗證 SSL	核取方塊	已取消勾選	否	如果啟用，請確認連線至 ArcSight Logger 伺服器的 SSL 憑證有效。
遠端執行	核取方塊	已取消勾選	否	勾選這個欄位，即可遠端執行設定的整合項目。勾選後，系統會顯示選取遠端使用者 (服務專員) 的選項。

動作

乒乓

使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數，測試與 ArcSight Logger 的連線。

參數

不適用

執行日期

系統不會對實體執行這項操作。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True/False	is_success:False

案件總覽

結果類型	說明	類型
輸出訊息*	動作不得失敗或停止執行應對手冊：如果沒有錯誤且傳回資料：「Successfully connected to the ArcSight Logger with the provided connection parameters!」(已使用提供的連線參數成功連線至 ArcSight Logger！) 動作應會失敗並停止執行應對手冊：如果系統回報錯誤：「Error executing action "Ping". 原因：{0}''.format(error.Stacktrace)	一般

結果類型

說明

類型

輸出訊息*

動作不得失敗或停止執行應對手冊：

如果沒有錯誤且傳回資料：「Successfully connected to the ArcSight Logger with the provided connection parameters!」(已使用提供的連線參數成功連線至 ArcSight Logger！)

動作應會失敗並停止執行應對手冊：

如果系統回報錯誤：「Error executing action "Ping". 原因：{0}''.format(error.Stacktrace)

一般

傳送查詢

傳送查詢，從 ArcSight Logger 事件記錄管理員取得相關事件的資訊。

參數

參數名稱	類型	預設值	為必填項目	說明
查詢	字串	""	是	指定要傳送至 ArcSight Logger 事件搜尋的查詢。
要傳回的事件數量上限	整數	100	否	指定要傳回的事件數量。上限為 10,000。這是 ArcSight Logger 的限制。
時間範圍	字串	1 小時	否	指定用於擷取事件的時間範圍。可能的值： 1m - 1 分鐘前 1 小時前 1 天前注意：你無法合併不同值，例如 1d2h30m。
要擷取的欄位	逗號分隔值	無	否	指定要從 ArcSight Logger 擷取的欄位。如未指定任何欄位，系統會傳回所有可用欄位。
包含原始事件資料	核取方塊	已勾選	否	如果啟用這項功能，回應中就會包含原始事件資料。
僅限區域搜尋	核取方塊	已取消勾選	否	表示 ArcSight Logger 事件搜尋僅限本機，不包含 ArcSight Logger 對等互連。如要在活動搜尋中加入同層級使用者，請設為 false。
探索欄位	核取方塊	已勾選	否	指出 ArcSight Logger 搜尋應嘗試探索所找到事件中的欄位。
排序	字串	遞增	否	指定要使用的排序方法。可能的值包括：遞增遞減

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果

指令碼結果名稱	值選項	範例
is_success	True/False	is_success:False

JSON 結果

{
  "fields": [
      {
          "name": "_rowId",
          "type": "string",
          "alias": "_rowId"
      },
      {
          "name": "_raw",
          "type": "string",
          "alias": "_raw"
      },
      {
          "name": "Event Time",
          "type": "date",
          "alias": "Event Time"
      },
      {
          "name": "Logger",
          "type": "string",
          "alias": "Logger"
      },
      {
          "name": "Device",
          "type": "string",
          "alias": "Device"
      },
      {
          "name": "Receipt Time",
          "type": "date",
          "alias": "Receipt Time"
      },
      {
          "name": "deviceReceiptTime",
          "type": "date",
          "alias": "deviceReceiptTime"
      },
      {
          "name": "deviceCustomString2",
          "type": "string",
          "alias": "deviceCustomString2"
      },
      {
          "name": "destinationAddress",
          "type": "string",
          "alias": "destinationAddress"
      },
      {
          "name": "deviceCustomNumber3Label",
          "type": "string",
          "alias": "deviceCustomNumber3Label"
      },
      {
          "name": "globalEventId",
          "type": "number",
          "alias": "globalEventId"
      },
      {
          "name": "deviceVersion",
          "type": "string",
          "alias": "deviceVersion"
      },
      {
          "name": "name",
          "type": "string",
          "alias": "name"
      },
      {
          "name": "deviceAddress",
          "type": "string",
          "alias": "deviceAddress"
      },
      {
          "name": "deviceVendor",
          "type": "string",
          "alias": "deviceVendor"
      },
      {
          "name": "Version",
          "type": "string",
          "alias": "Version"
      },
      {
          "name": "deviceCustomNumber1Label",
          "type": "string",
          "alias": "deviceCustomNumber1Label"
      },
      {
          "name": "deviceEventCategory",
          "type": "string",
          "alias": "deviceEventCategory"
      },
      {
          "name": "endTime",
          "type": "date",
          "alias": "endTime"
      },
      {
          "name": "fileName",
          "type": "string",
          "alias": "fileName"
      },
      {
          "name": "deviceCustomNumber2",
          "type": "number",
          "alias": "deviceCustomNumber2"
      },
      {
          "name": "deviceCustomNumber1",
          "type": "number",
          "alias": "deviceCustomNumber1"
      },
      {
          "name": "baseEventCount",
          "type": "number",
          "alias": "baseEventCount"
      },
      {
          "name": "startTime",
          "type": "date",
          "alias": "startTime"
      },
      {
          "name": "deviceCustomNumber3",
          "type": "number",
          "alias": "deviceCustomNumber3"
      },
      {
          "name": "agentSeverity",
          "type": "string",
          "alias": "agentSeverity"
      },
      {
          "name": "fsize",
          "type": "string",
          "alias": "fsize"
      },
      {
          "name": "deviceProduct",
          "type": "string",
          "alias": "deviceProduct"
      },
      {
          "name": "deviceEventClassId",
          "type": "string",
          "alias": "deviceEventClassId"
      },
      {
          "name": "deviceCustomNumber2Label",
          "type": "string",
          "alias": "deviceCustomNumber2Label"
      },
      {
          "name": "deviceCustomString2Label",
          "type": "string",
          "alias": "deviceCustomString2Label"
      },
      {
          "name": "fileType",
          "type": "string",
          "alias": "fileType"
      }
  ],
  "results": [
      [
          "4BFEFD-86@Local",
          "CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=15 cn1Label=Percent Used cn2=180 cn2Label=retention period (days) cn3=2048 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Default Storage Group fsize=13 geid=0 rt=1585661238546",
          1585661238546,
          "Local",
          "Logger",
          1585661364960,
          1585661238546,
          "CurrentValue",
          "10.0.2.185",
          "used (MB)",
          0,
          "7.0.0.8280.0",
          "Storage Group Space Used",
          "10.0.2.185",
          "ArcSight",
          "0",
          "Percent Used",
          "/Monitor/StorageGroup/Space/Used",
          1585661238546,
          "Default Storage Group",
          180,
          15,
          1,
          1585661238546,
          2048,
          "1",
          "13",
          "Logger",
          "storagegroup:100",
          "retention period (days)",
          "timeframe",
          "storageGroup"
      ],
      [
          "4BFEFD-87@Local",
          "CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=33 cn1Label=Percent Used cn2=365 cn2Label=retention period (days) cn3=1024 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Internal Event Storage Group fsize=3 geid=0 rt=1585661238546",
          1585661238546,
          "Local",
          "Logger",
          1585661364960,
          1585661238546,
          "CurrentValue",
          "10.0.2.185",
          "used (MB)",
          0,
          "7.0.0.8280.0",
          "Storage Group Space Used",
          "10.0.2.185",
          "ArcSight",
          "0",
          "Percent Used",
          "/Monitor/StorageGroup/Space/Used",
          1585661238546,
          "Internal Event Storage Group",
          365,
          33,
          1,
          1585661238546,
          1024,
          "1",
          "3",
          "Logger",
          "storagegroup:100",
          "retention period (days)",
          "timeframe",
          "storageGroup"
      ]
  ]
}

案件總覽

結果類型	說明	類型
輸出訊息*	動作不得失敗或停止執行應對手冊： >如果狀態設為「已完成」，且點擊次數大於零：「Successfully returned events for query "{0}" from the ArcSight Logger」(已從 ArcSight Logger 成功傳回查詢「{0}」的事件)。format(query) 如果狀態設為「已完成」，且命中次數設為 0：(is_success == false)：「在 ArcSight Logger 中找不到查詢『{0}』的事件」。format(query)。 >如果狀態設為錯誤：「Unable to execute query "{0}" in ArcSight Logger」(無法在 ArcSight Logger 中執行查詢「{0}」)。format(query)。如果第一個要求中的狀態碼為 409：「無法在 ArcSight Logger 中執行查詢『{0}』。Reason: {1}".format(query, errors/message from first response)" 非同步輸出訊息：「Starting processing query {0} in ArcSight Logger」。format(query) 動作應會失敗並停止執行應對手冊：如果系統回報嚴重錯誤 (憑證錯誤、連線錯誤、動作當機)：「Error executing action "Send Query". 原因：{0}''.format(error.Stacktrace)	一般
資料表	資料表名稱：{Query} 資料欄：回應中所有可用的資料欄。詳情請參閱「動作行為」一節。	一般

結果類型

說明

類型

輸出訊息*

動作不得失敗或停止執行應對手冊：

>如果狀態設為「已完成」，且點擊次數大於零：「Successfully returned events for query "{0}" from the ArcSight Logger」(已從 ArcSight Logger 成功傳回查詢「{0}」的事件)。format(query)

如果狀態設為「已完成」，且命中次數設為 0：(is_success == false)：「在 ArcSight Logger 中找不到查詢『{0}』的事件」。format(query)。

>如果狀態設為錯誤：「Unable to execute query "{0}" in ArcSight Logger」(無法在 ArcSight Logger 中執行查詢「{0}」)。format(query)。

如果第一個要求中的狀態碼為 409：「無法在 ArcSight Logger 中執行查詢『{0}』。Reason: {1}".format(query, errors/message from first response)"

非同步輸出訊息：「Starting processing query {0} in ArcSight Logger」。format(query)

動作應會失敗並停止執行應對手冊：

如果系統回報嚴重錯誤 (憑證錯誤、連線錯誤、動作當機)：「Error executing action "Send Query". 原因：{0}''.format(error.Stacktrace)

一般

資料表

資料表名稱：{Query}

資料欄：回應中所有可用的資料欄。詳情請參閱「動作行為」一節。

一般

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。