Intégrer ArcSight à Google SecOps

Ce document explique comment intégrer ArcSight à Google Security Operations (Google SecOps).

Version de l'intégration : 42.0

Conditions préalables du connecteur d'événements de sécurité

Ce connecteur fonctionne avec les rapports générés automatiquement dans ArcSight. Le connecteur télécharge le rapport généré, extrait les ID d'événement, puis utilise l'API ArcSight pour obtenir plus d'informations sur les événements.

Configurer le connecteur d'événements de sécurité

1. Connectez-vous à la console ArcSight.

2. Accédez à l'onglet Rapports, puis à la section Requête.

3. Pour créer une requête, saisissez le nom de requête suivant : Google SecOps SOAR Security Events Connector Query.

   Faites attention aux paramètres Heure de début et Heure de fin. Il est recommandé d'interroger les données par intervalles d'une heure, mais vous pouvez augmenter l'intervalle si nécessaire.

   Exemple de configuration :

   • Nom : requête du connecteur d'événements de sécurité Google SecOps SOAR
   • Requête sur : événement
   • Heure de début : $Now - 1 h
   • Heure de fin : $Now
   • Utiliser comme code temporel : heure de fin
   • Limite de lignes : 5 000

4. Définissez les champs pour la requête. En termes de champs, vous devez disposer des éléments suivants :

   • ID de l'événement
   • Nom
   • Heure de début
   • Heure de fin
   • Priorité

   Assurez-vous que Heure de fin ASC figure dans la colonne Trier par.

5. Définissez les conditions. C'est ici que vous pouvez fournir votre propre filtre.

6. Enregistrez la requête.

7. Accédez à la section Rapports et créez un rapport. Pour spécifier le rapport, saisissez le nom suivant : Google SecOps SOAR Security Events Connector Report. Utilisez le même nom pour le paramètre Nom du rapport de la configuration du connecteur.

8. Dans l'onglet Données, sélectionnez la requête créée lors des étapes précédentes comme Source de données.

9. Dans l'onglet Paramètres, définissez le Format du rapport sur csv pour répondre aux exigences du connecteur.

10. Enregistrez le rapport.

11. Indiquez le nom du rapport dans la configuration du connecteur du paramètre Nom du rapport.

12. Effectuez un test pour vous assurer que le connecteur fonctionne comme prévu.

Configurer le dossier partagé Google SecOps pour ArcSight

Serveur Google SecOps

1. Recherchez UID et GID dans le fichier /etc/passwd :

   cat /etc/passwd | grep scripting

   Voici un exemple de résultat de la commande :

   scripting:x:1001:1001:/home/scripting:/bin/bash

   UID est le troisième champ et GID est le quatrième dans le résultat de la commande.

2. Créez le script :

   1. Créez un fichier et appelez-le configure_smp_nfs.sh.

   2. Copiez le contenu suivant dans ce fichier.

      #!/bin/bash
      
      #Declare the variables:
      uid=SCRIPTING_USER_UID
      gid=SCRIPTING_USER_GID
      arcsight_ip=ARCSIGHT_IP
      
      #Install nfs-utils
      yum install nfs-utils -y
      #Create the directory that will be shared
      mkdir /opt/Correlations
      #Change the permissions
      chmod -R 755 /opt/Correlations/
      chown -R scripting:scripting /opt/Correlations/
      #Start the services and enable them to be started at boot time
      systemctl enable rpcbind
      systemctl enable nfs-server
      systemctl enable nfs-lock
      systemctl enable nfs-idmap
      systemctl start rpcbind
      systemctl start nfs-server
      systemctl start nfs-lock
      systemctl start nfs-idmap
      
      #Edit the exports file as follows
      echo "/opt/Correlations/ $arcsight_ip(rw,sync,all_squash,anonuid=$uid,anongid=$gid)">>/etc/exports
      #Restart the NFS service and export the path
      systemctl restart nfs-server
      exportfs -a
      #If FirewallD is running add the next rules:
      firewall-cmd --permanent --zone=public --add-service=nfs
      firewall-cmd --permanent --zone=public --add-service=mountd
      firewall-cmd --permanent --zone=public --add-service=rpc-bind
      firewall-cmd --reload
      setsebool -P nfs_export_all_rw 1
      

   3. Déclarez les variables uid, gid et arcisght_ip en fonction de votre environnement.

   4. Accordez les autorisations :

      chmod +x configure_smp_nfs.sh

   5. Exécutez le script :

      ./configure_smp_nfs.sh

Serveur ArcSight

1. Créez le script :

   1. Créez un fichier et appelez-le configure_smp_nfs.sh.

   2. Copiez le contenu suivant dans ce fichier.

      #!/bin/bash
      #Declare the variables:
      siemplify_ip=SIEMPLIFY_IP
      
      #Install nfs-utils
      yum install nfs-utils -y
      #Start the services and enable them to be started at boot time
      systemctl enable rpcbind
      systemctl enable nfs-server
      systemctl enable nfs-lock
      systemctl enable nfs-idmap
      systemctl start rpcbind
      systemctl start nfs-server
      systemctl start nfs-lock
      systemctl start nfs-idmap
      #If FirewallD is running add the next rules:
      firewall-cmd --permanent --zone=public --add-service=nfs
      firewall-cmd --permanent --zone=public --add-service=mountd
      firewall-cmd --permanent --zone=public --add-service=rpc-bind
      firewall-cmd --reload
      #Create the NFS directory mount point
      mkdir -p /mnt/nfs/var/SiemShare
      #Add the values:
      echo "$siemplify_ip:/opt/Correlations /mnt/nfs/var/SiemShare nfs defaults 0 0">>/etc/fstab
      mount -a
      

   3. Déclarez la variable siemplify_ip en fonction de votre environnement.

Remarque pour les clients qui utilisent l'ancien chemin d'accès

Le programme d'installation du correctif remplace l'autorisation du dossier /opt/siemplify/Correlations par siemplifyadmin.

Si vous utilisez l'ancien chemin d'accès et que vous appliquez la mise à niveau, vous devez rétablir l'autorisation pour l'utilisateur de script en procédant comme suit :

1. Avant de commencer la mise à niveau, arrêtez le service de serveur NFS :

   _systemctl stop nfs-server_

2. Une fois la mise à niveau terminée, modifiez les autorisations du dossier :

   _chmod -R 755 /opt/siemplify/Correlations/_

   _chown -R scripting:scripting/opt/siemplify/Correlations/_

   _systemctl start nfs-server_

   _exportfs -a_

3. Pour vérifier que le serveur NFS fonctionne correctement après les modifications, vérifiez son état :

   _systemctl status nfs-server_

Créer et configurer un utilisateur pour l'accès à l'API

1. Connectez-vous à la console ArcSight.

2. Créez un groupe d'utilisateurs Google_SecOps_API et ajoutez-y un utilisateur Google_SecOps_API. Cet utilisateur sera utilisé par Google SecOps via l'API ArcSight ESM.

   1. Accédez à l'onglet Attributs et définissez l'attribut Type d'utilisateur sur Normal User.

   2. Dans l'onglet Ressources, effectuez un clic droit sur le groupe d'utilisateurs créé.

   3. Dans le menu, sélectionnez Modifier le contrôle des accès.

   4. Dans la fenêtre Inspecter/Modifier de l'éditeur LCA :

      1. Dans l'onglet Événements, ajoutez le filtre créé précédemment, Google_SecOps_Correlations_Filter. Vous pouvez également ajouter n'importe quel filtre de source pour accorder l'accès à Google SecOps.

      2. Utilisez les paramètres par défaut pour les autres onglets.

      3. Cliquez sur Ajouter, sélectionnez Système ArcSight > Core, puis cochez la case Tous les événements.

         Il est important de vérifier que la case Tous les événements est cochée. L'exigence minimale consiste à inclure tous les événements de corrélation qui seront ingérés dans Google SecOps.

Google Security Operations utilise les principales méthodes suivantes lorsqu'il utilise l'API ArcSight ESM :

• Service principal : Login, GetSession

• Service Manager : GetSecurityEvents

Accès au réseau avec ArcSight ESM

Pour accéder à ArcSight ESM depuis Google SecOps, autorisez le trafic sur les ports 443 (HTTPS) et 8443 (API sur SSL), ou selon la configuration de votre environnement.

Pour accéder à Google SecOps depuis ArcSight ESM, autorisez le trafic sur les ports 445 et 139 (SMB/SAMBA/CIFS), ou selon la configuration de votre environnement.

Paramètres d'intégration

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Utilisez les paramètres suivants pour configurer l'intégration :

Actions

Ajouter des entrées à la liste active

Description

Fournit un mécanisme permettant d'obtenir des informations sur les tendances en dehors des rapports et en plus de ceux-ci. Les listes actives mises à jour en fonction des tendances permettent d'obtenir des résumés d'informations provenant de plusieurs tendances.

Paramètres

Date d'exécution

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Modifier l'étape de traitement du cas

Description

Modifier l'étape de traitement d'une demande Les états valides sont INITIAL, QUEUED, CLOSED, FINAL et FOLLOW_UP.

Paramètres

Date d'exécution

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Obtenir les entrées Activelist

Description

Récupère les entrées de la liste active ArcSight et renvoie la sortie au format CSV.

Paramètres

Date d'exécution

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Résultat JSON

[
"12346e4d96f0a72c42015d69aaf0e8ab ,
 file.txt",
 "0e0776034e5e096704cd28cbd40cdbb5 ,
 Test.config"
]

Obtenir les résultats de la requête

Description

Obtenez les résultats de la requête par ID de requête. Une requête peut être utilisée comme source de données principale pour un rapport, ou une tendance (basée sur une requête) peut être utilisée comme source de données pour une autre requête qui affine davantage le résultat de la requête initiale.

Paramètres

Cas d'utilisation

Ajoutez une limite au nombre de résultats à renvoyer.

Date d'exécution

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Résultat JSON

[
    {
        "Target User Name": "user",
        "Attacker Address": "192.0.2.1",
        "External ID": "127",
        "Name": "A Kerberos authentication ticket (TGT) was requested.",
        "Target Address": "192.0.2.1"
    },{
        "Target User Name": "user",
        "Attacker Address": "192.0.2.1",
        "External ID": "127",
        "Name": "A Kerberos authentication ticket (TGT) was requested.",
        "Target Address": "192.0.2.1"
    }
]

Télécharger le rapport

Description

Obtenez un rapport avec des champs dynamiques. Un rapport est une ressource ArcSight qui lie les données d'une requête ou d'une tendance à un modèle de rapport existant. Une fois exécutés, les résultats d'un rapport peuvent être consultés dans le panneau d'affichage des consoles ArcSight, enregistrés (archivés) ou exportés dans différents formats. Vous pouvez programmer l'exécution des rapports à intervalles réguliers ou à la demande, selon vos besoins.

Paramètres

Date d'exécution

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

La valeur se trouve dans la colonne "Liste active"

Description

Vérifiez si une valeur spécifique figure dans la liste active .

Paramètres

Date d'exécution

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Ping

Description

Testez la connectivité.

Paramètres

Date d'exécution

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Rechercher

Description

Vous pouvez lancer une recherche dans ArcSight Command Center à partir du canal d'événements de la console. La recherche d'événements terminés recherche l'attribut associé, qui est stocké dans plusieurs champs (par exemple, abc). La recherche d'événements recherche une valeur (par exemple, "abc") stockée dans le champ spécifié (par exemple, dans le champ "Nom uniquement").

Paramètres

Cas d'utilisation

Ajoutez une limite au nombre de résultats à renvoyer.

Date d'exécution

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script

Résultat JSON

[
    {
        "score": 1.2440307,
        "uuid": "UUID",
        "uri": "/All_Fields/ArcSight_Foundation/Variables_Library/IPv6/Attacker_IPv6_Address",
        "name": "Attacker IPv6 Address"
    }, {
        "score": 1.2440307,
        "uuid": "UUID",
        "uri": "/All_Fields/ArcSight_Foundation/Variables_Library/IPv6/Attacker_IPv6_Address",
        "name": "Attacker IPv6 Address"
    }
]

Connecteurs

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.

Connecteur ArcSight ESM

Ce guide fait référence à ArcSight ESM versions 6.9.1 et ultérieures.

Transfert de règles ou de demandes ESM vers Google SecOps

Utiliser des règles/corrélations déclenchées

Vous devrez configurer ArcSight ESM pour transférer les derniers objets de corrélation vers Google SecOps, tout en configurant Google SecOps pour qu'il fonctionne sur ArcSight ESM en tant que fournisseur SIEM. Vous devrez également fournir un accès à l'API à ArcSight ESM par le biais d'un utilisateur autorisé.

Cette fonctionnalité permet à Google SecOps de récupérer toutes les règles déclenchées dans ArcSight ESM en temps quasi réel et de les transférer pour qu'elles soient traduites et contextualisées en tant qu'alertes pour les demandes.

Flux de données entre Google SecOps et ArcSight ESM

Google SecOps indexe et contextualise automatiquement les corrélations qui ont été transférées vers Google SecOps et déclenchées dans ArcSight ESM via le module ArcSight Forwarding Connector et l'accès à l'API.

Hiérarchisation de la gravité des connecteurs

Le connecteur attribue la gravité avec les valeurs de priorité suivantes :

• 1 et 2 : très faible
• 3 et 4 : faible
• 5 et 6 : moyen
• 7 et 8 : élevé
• 9 et 10 : critique

Entrées du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Règles du connecteur

Le connecteur est compatible avec les proxys.

ArcSight : connecteur d'événements de sécurité

Extrayez les corrélations d'ArcSight. Ce connecteur convient au déploiement SaaS de Google SecOps et est recommandé pour une utilisation en production.

Ce connecteur nécessite de suivre les étapes préalables.

Entrées du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Règles du connecteur

Le connecteur est compatible avec les proxys.

Jobs

Clôturer les cas

Le job nécessite les paramètres suivants :

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.