ArcSight in Google SecOps einbinden

In diesem Dokument wird beschrieben, wie Sie ArcSight in Google Security Operations (Google SecOps) einbinden.

Integrationsversion: 42.0

Voraussetzungen für den Security Events Connector

Dieser Connector funktioniert mit den Berichten, die automatisch in ArcSight generiert werden. Der Connector lädt den generierten Bericht herunter, extrahiert Ereignis-IDs und ruft dann über die ArcSight API weitere Details zu Ereignissen ab.

Security Events Connector konfigurieren

  1. Melden Sie sich in der ArcSight-Konsole an.

  2. Rufen Sie den Tab Berichte auf und gehen Sie zum Bereich Abfrage.

  3. Wenn Sie eine neue Abfrage erstellen möchten, geben Sie den folgenden Abfragenamen ein: Google SecOps SOAR Security Events Connector Query.

    Achten Sie auf die Parameter Start Time (Startzeit) und End Time (Endzeit). Es wird empfohlen, Daten in einem Intervall von einer Stunde abzufragen. Sie können das Intervall bei Bedarf aber auch verlängern.

    Konfigurationsbeispiel:

    • Name:Google SecOps SOAR Security Events Connector Query
    • Anfrage zu:Ereignis
    • Startzeit:$Now – 1 Stunde
    • Ende:$Now
    • Als Zeitstempel verwenden:Endzeit
    • Zeilenlimit:5.000

  4. Definieren Sie Felder für die Abfrage. Sie benötigen die folgenden Felder:

    • Ereignis-ID
    • Name
    • Beginn
    • Ende
    • Priorität

    Achten Sie darauf, dass in der Spalte Sortieren nach die Option Ende der Zeitachse aufsteigend ausgewählt ist.

  5. Legen Sie Bedingungen fest. Hier können Sie einen eigenen Filter angeben.

  6. Speichern Sie die Abfrage.

  7. Rufen Sie den Bereich Berichte auf und erstellen Sie einen neuen Bericht. Geben Sie den folgenden Namen ein, um den Bericht anzugeben: Google SecOps SOAR Security Events Connector Report. Verwenden Sie denselben Namen für den Parameter Berichtsname der Connector-Konfiguration.

  8. Wählen Sie auf dem Tab Daten die Abfrage aus, die in den vorherigen Schritten erstellt wurde, als Datenquelle aus.

  9. Ändern Sie auf dem Tab Parameter das Berichtsformat in csv, um die Connector-Anforderungen zu erfüllen.

  10. Speichern Sie den Bericht.

  11. Geben Sie den Namen des Berichts in der Connector-Konfiguration des Parameters Report Name (Berichtsname) an.

  12. Führen Sie einen Testlauf durch, um sicherzustellen, dass der Connector wie erwartet funktioniert.

Google SecOps-Freigabeordner für ArcSight konfigurieren

Google SecOps-Server

  1. Suchen Sie in der Datei /etc/passwd nach UID und GID:

    cat /etc/passwd | grep scripting

    Die Beispielausgabe des Befehls sieht so aus:

    scripting:x:1001:1001:/home/scripting:/bin/bash

    UID ist das dritte Feld und GID das vierte in der Befehlsausgabe.

  2. So erstellen Sie das Skript:

    1. Erstellen Sie eine Datei mit dem Namen configure_smp_nfs.sh.

    2. Kopieren Sie den folgenden Inhalt in diese Datei.

      #!/bin/bash

#Declare the variables:
uid=SCRIPTING_USER_UID
gid=SCRIPTING_USER_GID
arcsight_ip=ARCSIGHT_IP

#Install nfs-utils
yum install nfs-utils -y
#Create the directory that will be shared
mkdir /opt/Correlations
#Change the permissions
chmod -R 755 /opt/Correlations/
chown -R scripting:scripting /opt/Correlations/
#Start the services and enable them to be started at boot time
systemctl enable rpcbind
systemctl enable nfs-server
systemctl enable nfs-lock
systemctl enable nfs-idmap
systemctl start rpcbind
systemctl start nfs-server
systemctl start nfs-lock
systemctl start nfs-idmap

#Edit the exports file as follows
echo "/opt/Correlations/ $arcsight_ip(rw,sync,all_squash,anonuid=$uid,anongid=$gid)">>/etc/exports
#Restart the NFS service and export the path
systemctl restart nfs-server
exportfs -a
#If FirewallD is running add the next rules:
firewall-cmd --permanent --zone=public --add-service=nfs
firewall-cmd --permanent --zone=public --add-service=mountd
firewall-cmd --permanent --zone=public --add-service=rpc-bind
firewall-cmd --reload
setsebool -P nfs_export_all_rw 1

    3. Deklarieren Sie die Variablen uid, gid und arcisght_ip entsprechend Ihrer Umgebung.

    4. Berechtigungen erteilen:

      chmod +x configure_smp_nfs.sh

    5. Führen Sie das Skript aus:

      ./configure_smp_nfs.sh

ArcSight-Server

  1. So erstellen Sie das Skript:

    1. Erstellen Sie eine Datei mit dem Namen configure_smp_nfs.sh.

    2. Kopieren Sie den folgenden Inhalt in diese Datei.

      #!/bin/bash
#Declare the variables:
siemplify_ip=SIEMPLIFY_IP

#Install nfs-utils
yum install nfs-utils -y
#Start the services and enable them to be started at boot time
systemctl enable rpcbind
systemctl enable nfs-server
systemctl enable nfs-lock
systemctl enable nfs-idmap
systemctl start rpcbind
systemctl start nfs-server
systemctl start nfs-lock
systemctl start nfs-idmap
#If FirewallD is running add the next rules:
firewall-cmd --permanent --zone=public --add-service=nfs
firewall-cmd --permanent --zone=public --add-service=mountd
firewall-cmd --permanent --zone=public --add-service=rpc-bind
firewall-cmd --reload
#Create the NFS directory mount point
mkdir -p /mnt/nfs/var/SiemShare
#Add the values:
echo "$siemplify_ip:/opt/Correlations /mnt/nfs/var/SiemShare nfs defaults 0 0">>/etc/fstab
mount -a

    3. Deklarieren Sie die Variable siemplify_ip entsprechend Ihrer Umgebung.

Hinweis für Kunden, die den alten Pfad verwenden

Das Hotfix-Installationsprogramm überschreibt die Berechtigung für den Ordner /opt/siemplify/Correlations mit siemplifyadmin.

Wenn Sie den alten Pfad verwenden und das Upgrade anwenden, müssen Sie die Berechtigung mit den folgenden Schritten wieder auf den Scripting-Nutzer ändern:

  1. Beenden Sie vor dem Upgrade den NFS-Serverdienst:

    _systemctl stop nfs-server_

  2. Ändern Sie nach Abschluss des Upgrades die Ordnerberechtigungen:

    _chmod -R 755 /opt/siemplify/Correlations/_

    _chown -R scripting:scripting/opt/siemplify/Correlations/_

    _systemctl start nfs-server_

    _exportfs -a_

  3. So prüfen Sie, ob der NFS-Server nach den Änderungen ordnungsgemäß funktioniert:

    _systemctl status nfs-server_

Nutzer für den API-Zugriff erstellen und konfigurieren

  1. Melden Sie sich in der ArcSight-Konsole an.

  2. Erstellen Sie eine Google_SecOps_API-Nutzergruppe und fügen Sie ihr einen Google_SecOps_API-Nutzer hinzu. Dieser Nutzer wird von Google SecOps über die ArcSight ESM API verwendet.

    1. Rufen Sie den Tab Attribute auf und legen Sie das Attribut User Type (Nutzertyp) auf Normal User fest.

    2. Klicken Sie auf dem Tab Ressourcen mit der rechten Maustaste auf die erstellte Nutzergruppe.

    3. Wählen Sie im Menü Zugriffssteuerung bearbeiten aus.

    4. Gehen Sie im Fenster Inspect/Edit (Prüfen/Bearbeiten) für den ACL-Editor so vor:

      1. Fügen Sie auf dem Tab Ereignisse den zuvor erstellten Filter Google_SecOps_Correlations_Filter hinzu. Sie können auch einen beliebigen Quellfilter hinzufügen, um Google SecOps Zugriff zu gewähren.

      2. Verwenden Sie für die anderen Tabs die Standardeinstellungen.

      3. Klicken Sie auf Hinzufügen, wählen Sie ArcSight System > Core aus und setzen Sie ein Häkchen bei Alle Ereignisse.

        Achten Sie darauf, dass das Kästchen Alle Ereignisse aktiviert ist. Die Mindestanforderung besteht darin, alle Korrelationsereignisse einzuschließen, die in Google SecOps aufgenommen werden.

Google Security Operations verwendet die folgenden Hauptmethoden, wenn die ArcSight ESM API verwendet wird:

  • Hauptdienst: Login, GetSession

  • Manager-Dienst: GetSecurityEvents

Netzwerkzugriff mit ArcSight ESM

Wenn Sie von Google SecOps auf ArcSight ESM zugreifen möchten, lassen Sie Traffic über die Ports 443 (HTTPS) und 8443 (API über SSL) zu oder wie in Ihrer Umgebung konfiguriert.

Damit Sie von ArcSight ESM auf Google SecOps zugreifen können, müssen Sie Traffic über die Ports 445 und 139 (SMB/SAMBA/CIFS) zulassen oder die Ports verwenden, die in Ihrer Umgebung konfiguriert sind.

Funktion Ports Richtung Protokoll
NFS 111, 1039, 1047, 1048 und 2049 Ausgehend und eingehend UDP
NFS 111, 1039, 1047, 1048 und 2049 Ausgehend und eingehend TCP

Integrationsparameter

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Parametername Typ Standardwert Ist obligatorisch Beschreibung
Instanzname String Nein Name der Instanz, für die Sie die Integration konfigurieren möchten.
Beschreibung String Nein Beschreibung der Instanz.
API-Stamm String https://{IP}:{PORT} Ja Serveradresse der ArcSight-Instanz.
Nutzername String Ja Nutzername des ArcSight-Kontos.
Passwort Passwort Ja Das Passwort des ArcSight-Kontos.
Remote ausführen Kästchen Deaktiviert Nein Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt.

Aktionen

Einträge zur aktiven Liste hinzufügen

Beschreibung

Bietet einen Mechanismus, um Informationen aus Trends außerhalb und zusätzlich zu Berichten abzurufen. Aktive Listen, die anhand von Trends aktualisiert werden, unterstützen Zusammenfassungsansichten von Informationen aus mehreren Trends.

Parameter

Parametername Typ Standardwert Ist obligatorisch Beschreibung
Spalten String Ja Beispiel: Nachricht;Nutzername
Einträge String Ja Beispiel: test1|Me1;Test|Me2
UUID der aktiven Liste String Ja Beispiel: HCN75QGABABCZXCOdT9P51w==

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_succeed True oder False is_succeed:False

Fallphase ändern

Beschreibung

Ändern Sie die Phase eines Falls. Gültige Phasen sind INITIAL, QUEUED, CLOSED, FINAL und FOLLOW_UP.

Parameter

Parametername Typ Standardwert Ist obligatorisch Beschreibung
Fallname String Ja Der Name des Falls, der aktualisiert werden soll.
Phase String Ja Die Phase des Falls. Beispiel: CLOSED, INITIAL

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
Erfolgreich True oder False success:False

Activelist-Einträge abrufen

Beschreibung

Ruft ArcSight-Einträge in der aktiven Liste ab und gibt eine CSV-Ausgabe zurück.

Parameter

Parametername Typ Standardwert Ist obligatorisch Beschreibung
UUID der aktiven Liste String Ja Beispiel: HTcILQWABABCr553ieI0Xmw==

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
Success_Indicator
JSON-Ergebnis
[
"12346e4d96f0a72c42015d69aaf0e8ab ,
 file.txt",
 "0e0776034e5e096704cd28cbd40cdbb5 ,
 Test.config"
]

Abfrageergebnisse abrufen

Beschreibung

Abfrageergebnisse nach Abfrage-ID abrufen Eine Abfrage kann als primäre Datenquelle für einen Bericht oder als Trend (basierend auf einer Abfrage) verwendet werden. Dieser Trend kann dann als Datenquelle für eine andere Abfrage dienen, mit der das ursprüngliche Abfrageergebnis weiter verfeinert wird.

Parameter

Parametername Typ Standardwert Ist obligatorisch Beschreibung
Abfrage-ID String Ja Die Abfrage-ID.
Maximale Anzahl zurückzugebender Elemente Ganzzahl 100 Nein Geben Sie an, wie viele Elemente in der Antwort zurückgegeben werden sollen.

Anwendungsbereiche

Beschränkung für die Anzahl der zurückzugebenden Ergebnisse hinzufügen.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
Erfolgreich True oder False success:False
JSON-Ergebnis
[
    {
        "Target User Name": "user",
        "Attacker Address": "192.0.2.1",
        "External ID": "127",
        "Name": "A Kerberos authentication ticket (TGT) was requested.",
        "Target Address": "192.0.2.1"
    },{
        "Target User Name": "user",
        "Attacker Address": "192.0.2.1",
        "External ID": "127",
        "Name": "A Kerberos authentication ticket (TGT) was requested.",
        "Target Address": "192.0.2.1"
    }
]

Bericht abrufen

Beschreibung

Bericht mit dynamischen Feldern abrufen Ein Bericht ist eine ArcSight-Ressource, in der Daten aus einer Abfrage oder einem Trend an eine vorhandene Berichtsvorlage gebunden werden. Nach der Ausführung können die Ergebnisse eines Berichts im Ansichtsbereich der ArcSight-Konsolen angezeigt, gespeichert (archiviert) oder in verschiedenen Formaten exportiert werden. Berichte können so geplant werden, dass sie in regelmäßigen Abständen ausgeführt werden. Bei Bedarf können sie auch on demand ausgeführt werden.

Parameter

Parametername Typ Standardwert Ist obligatorisch Beschreibung
Vollständiger Pfad (URI) des Berichts String Ja Der URI des relevanten Berichts.
Feld 2 String Nein Die dynamischen Felder für die Abfrage zum Generieren des Berichts.
Feld 3 String Nein Die dynamischen Felder für die Abfrage zum Generieren des Berichts.
Feld 4 String Nein Die dynamischen Felder für die Abfrage zum Generieren des Berichts.
Feld 6 String Nein Die dynamischen Felder für die Abfrage zum Generieren des Berichts.
Feld 6 String Nein Die dynamischen Felder für die Abfrage zum Generieren des Berichts.
Feld 7 String Nein Die dynamischen Felder für die Abfrage zum Generieren des Berichts.
Feld 8 String Nein Die dynamischen Felder für die Abfrage zum Generieren des Berichts.
Feld 9 String Nein Die dynamischen Felder für die Abfrage zum Generieren des Berichts.
Feld 10 String Nein Die dynamischen Felder für die Abfrage zum Generieren des Berichts.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
json_report

Ist Wert in der Spalte „Aktivliste“

Beschreibung

Prüft, ob ein bestimmter Wert in einer aktiven Liste enthalten ist .

Parameter

Parametername Typ Standardwert Ist obligatorisch Beschreibung
UUID der aktiven Liste String Ja UUID der aktiven Liste. Beispiel: cuser.
Spaltenname String Ja Der Name der Spalte. Beispiel: „sourceUserName“.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
Success_Indicator

Ping

Beschreibung

Verbindung testen

Parameter

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
is_succeed True oder False is_succeed:False

Beschreibung

Sie können eine Suche im ArcSight Command Center über den Konsolenereigniskanal starten. Bei der Suche nach vollständigen Ereignissen wird nach dem zugehörigen Attribut gesucht, das in mehreren Feldern gespeichert ist (z. B. „abc“). Bei der Suche nach Ereignissen wird nach einem Wert (z. B. „abc“) gesucht, der im angegebenen Feld gespeichert ist (z. B. nur im Feld „Name“).

Parameter

Parametername Typ Standardwert Ist obligatorisch Beschreibung
Suchanfrage String Ja Die Suchanfrage.
Maximale Anzahl zurückzugebender Elemente Ganzzahl 100 Nein Geben Sie an, wie viele Elemente in der Antwort zurückgegeben werden sollen.

Anwendungsbereiche

Beschränkung für die Anzahl der zurückzugebenden Ergebnisse hinzufügen.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen Beispiel
Erfolgreich True oder False success:False
JSON-Ergebnis
[
    {
        "score": 1.2440307,
        "uuid": "UUID",
        "uri": "/All_Fields/ArcSight_Foundation/Variables_Library/IPv6/Attacker_IPv6_Address",
        "name": "Attacker IPv6 Address"
    }, {
        "score": 1.2440307,
        "uuid": "UUID",
        "uri": "/All_Fields/ArcSight_Foundation/Variables_Library/IPv6/Attacker_IPv6_Address",
        "name": "Attacker IPv6 Address"
    }
]

Connectors

Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.

Arcsight ESM Connector

Dieser Leitfaden bezieht sich auf ArcSight ESM-Versionen 6.9.1 und höher.

ESM-Regel oder Fallweiterleitung an Google SecOps

Mit ausgelösten Regeln/Korrelationen arbeiten

Sie müssen ArcSight ESM so konfigurieren, dass die neuesten Korrelationsobjekte an Google SecOps weitergeleitet werden. Außerdem müssen Sie Google SecOps so konfigurieren, dass ArcSight ESM als SIEM-Anbieter fungiert und API-Zugriff auf ArcSight ESM über einen autorisierten Nutzer ermöglicht wird.

Mit diesem Feature kann Google SecOps alle ausgelösten Regeln in ArcSight ESM nahezu in Echtzeit abrufen und weiterleiten, damit sie als Warnungen für Fälle übersetzt und kontextualisiert werden.

Datenfluss zwischen Google SecOps und ArcSight ESM

Google SecOps indexiert und kontextualisiert automatisch Korrelationen, die an Google SecOps weitergeleitet und in ArcSight ESM über das ArcSight Forwarding Connector-Modul und den API-Zugriff ausgelöst wurden.

Priorisierung des Schweregrads von Connectors

Der Connector weist Schweregrade mit den folgenden Priorisierungswerten zu:

  • 1 und 2 – sehr niedrig
  • 3 und 4 – niedrig
  • 5 und 6 – mittel
  • 7 und 8 – hoch
  • 9 und 10 – kritisch

Connector-Eingaben

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Parametername Typ Standardwert Ist obligatorisch Beschreibung
Umgebung DDL Ja

Wählen Sie die gewünschte Umgebung aus, z. B. Customer One (Kunde 1).

Wenn das Umgebungsfeld der Benachrichtigung leer ist, wird die Benachrichtigung in diese Umgebung eingefügt.
Ausführung alle Ganzzahl 0:0:0:10 Nein Wählen Sie die Uhrzeit aus, zu der die Verbindung hergestellt werden soll.
Produktfeldname String device_product Nein

Der Name des Felds, in dem der Produktname gespeichert ist.

Der Standardwert ist device_product.

Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert device_product in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst.
Name des Ereignisfelds String Name Nein Der Feldname, der zum Bestimmen des Ereignisnamens (Untertyp) verwendet wird.
Zeitlimit für Script (Sekunden) String 500 Nein Das Zeitlimit (in Sekunden) für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird.
Serveradresse String Ja https://{IP}:{PORT}
Nutzername String Ja Nutzername des ArcSight-Kontos.
Passwort Passwort Ja Das Passwort des ArcSight-Kontos.
Limit für die Anzahl der Ereignisse Ganzzahl 15 Ja Geben Sie die maximale Anzahl der Ereignisse ein, die pro Korrelation abgerufen werden sollen. Begrenzen Sie die Anzahl der Ereignisse, z. B. auf 10.
Pfad zum Ordner „Kundenservicetickets“ String I:\SiemShare\CorrelationSource Ja

Der Speicherort der Fallakten, z. B. I:\SiemShare\CorrelationSource

Hinweis:Der Parameter „Cases Folder Path“ (Pfad zum Ordner für Kundenserviceanfragen) kann sich von Kunde zu Kunde unterscheiden.

Vollständiger Pfad. Beispiel: C:\Desktop\CorrelationSource
Limit für die Anzahl der Benachrichtigungen Ganzzahl 10 Ja Die maximale Anzahl der Warnungen, die pro Connector-Zyklus verarbeitet werden sollen, z. B. 10.
Name des Umgebungsfelds String event.customerURI Ja Der Name des Felds, aus dem die Umgebung des Falls abgerufen werden soll, z. B. „event.customerUri“.
Produktfeld für sekundäres Gerät String Nein Ersetzen Sie das ursprüngliche Produktfeld (aus dem DeviceProductField des Connectors) durch den Wert aus dem sekundären Produktfeld. Beispiel: CustomDeviceString2
Namen benutzerdefinierter Benachrichtigungsfelder String Nein Benutzerdefinierte Feldwerte aus ArcSight in die Benachrichtigung einfügen, z. B. baseEventCount,agent_address,device_assetId.
Aufbewahrungsdauer für abgeschlossene Dateien in Tagen Ganzzahl 3 Ja Die Anzahl der Tage, die jede DONE-CSV-Datei aufbewahrt werden soll.
Tage der Aufbewahrung von Fehlerdateien Ganzzahl 14 Ja Die Anzahl der Tage, die jede CSV-Datei mit Fehlern aufbewahrt werden soll.
Proxyserveradresse String Nein Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername String Nein Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort Passwort Nein Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Der Connector unterstützt Proxys.

ArcSight – Security Events Connector

Korrelationen aus ArcSight abrufen. Dieser Connector eignet sich für die SaaS-Bereitstellung von Google SecOps und wird für die Produktion empfohlen.

Für diesen Connector müssen die Voraussetzungen erfüllt sein.

Connector-Eingaben

Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Produktfeldname String Typ Ja

Der Name des Felds, in dem der Produktname gespeichert ist.

Der Standardwert ist type.

Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert type in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst.
Name des Ereignisfelds String Name Ja

Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt.
Name des Umgebungsfelds String "" Nein

Der Name des Felds, in dem der Name der Umgebung gespeichert ist.

Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet.
Environment Regex Pattern String .* FALSE Nein

Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Environment Field Name angewendet wird. Mit diesem Parameter können Sie das Feld „environment“ mithilfe der Logik für reguläre Ausdrücke bearbeiten.

Verwenden Sie den Standardwert .*, um den erforderlichen Rohwert Environment Field Name abzurufen.

Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
Zeitlimit für Script (Sekunden) Ganzzahl 360 Ja

Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird.
API-Stamm String https://{ip} Ja Das API-Stammverzeichnis der ArcSight-Instanz.
Nutzername String Ja Nutzername des ArcSight-Kontos.
Passwort Passwort Ja Das Passwort des ArcSight-Kontos.
Berichtsname String Ja Name des Berichts, der zum Abrufen von Ereignissen verwendet wird.
Basisereignisse abrufen Kästchen Aktiviert Ja Wenn diese Option aktiviert ist, ruft der Connector auch Basisereignisse ab.
Niedrigste Priorität für Abruf Ganzzahl Nein Die niedrigste Priorität, die zum Abrufen von Ereignissen verwendet wird. Mögliche Werte liegen zwischen 1 und 10. Wenn nichts angegeben ist, werden alle Ereignisse aufgenommen.
Max. abzurufende Ereignisse Ganzzahl 100 Nein Die Anzahl der Benachrichtigungen, die pro Connector-Iteration verarbeitet werden sollen. Der maximal zulässige Wert beträgt 1.000.
Dynamische Liste als Sperrliste verwenden Kästchen Aktiviert Ja

Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Blockierliste.
SSL überprüfen Kästchen Deaktiviert Ja Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum ArcSight-Server validiert.
Proxyserveradresse String Nein Die Adresse des zu verwendenden Proxyservers.
Proxy-Nutzername String Nein Der Proxy-Nutzername für die Authentifizierung.
Proxy-Passwort Passwort Nein Das Proxy-Passwort für die Authentifizierung.

Connector-Regeln

Der Connector unterstützt Proxys.

Jobs

Fälle schließen

Für den Job sind die folgenden Parameter erforderlich:

Parametername Typ Standardwert Ist obligatorisch Beschreibung
Serveradresse String 192.0.2.1 Ja
Nutzername String Ja
Passwort Passwort Ja

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten