Integrare ArcSight con Google SecOps

Questo documento descrive come integrare ArcSight con Google Security Operations (Google SecOps).

Versione integrazione: 42.0

Prerequisiti del connettore di eventi di sicurezza

Questo connettore funziona con i report generati automaticamente in ArcSight. Il connettore scarica il report generato, estrae gli ID evento e poi utilizza l'API ArcSight per ottenere maggiori dettagli sugli eventi.

Configura il connettore eventi di sicurezza

1. Accedi alla console ArcSight.

2. Vai alla scheda Report e alla sezione Query.

3. Per creare una nuova query, inserisci il seguente nome query: Google SecOps SOAR Security Events Connector Query.

   Presta attenzione ai parametri Ora di inizio e Ora di fine. È consigliabile eseguire query sui dati a intervalli di un'ora, ma puoi aumentare l'intervallo, se necessario.

   Configurazione di esempio:

   • Nome:query del connettore di eventi di sicurezza di Google SecOps SOAR
   • Query su: evento
   • Ora di inizio: $Now - 1h
   • Ora di fine: $Now
   • Usa come timestamp: ora di fine
   • Limite di righe:5000

4. Definisci i campi per la query. Per quanto riguarda i campi, devi avere i seguenti:

   • ID evento
   • Nome
   • Ora di inizio
   • Ora di fine
   • Priorità

   Assicurati di aver selezionato Ora di fine ASC nella colonna Ordina per.

5. Imposta le Condizioni. Qui puoi fornire il tuo filtro.

6. Salva query.

7. Vai alla sezione Report e crea un nuovo report. Per specificare il report, inserisci il seguente nome: Google SecOps SOAR Security Events Connector Report. Utilizza lo stesso nome per il parametro Nome report della configurazione del connettore.

8. Nella scheda Dati, seleziona la query creata nei passaggi precedenti come Origine dati.

9. Nella scheda Parametri, modifica Formato report in csv per soddisfare i requisiti del connettore.

10. Salva report.

11. Fornisci il nome del report nella configurazione del connettore del parametro Nome report.

12. Esegui una prova per assicurarti che il connettore funzioni come previsto.

Configurare la cartella condivisa Google SecOps per ArcSight

Server Google SecOps

1. Trova UID e GID nel file /etc/passwd:

   cat /etc/passwd | grep scripting

   L'output di esempio del comando è il seguente:

   scripting:x:1001:1001:/home/scripting:/bin/bash

   UID è il terzo campo e GID è il quarto nell'output del comando.

2. Crea lo script:

   1. Crea un file e chiamalo configure_smp_nfs.sh.

   2. Copia i seguenti contenuti nel file.

      #!/bin/bash
      
      #Declare the variables:
      uid=SCRIPTING_USER_UID
      gid=SCRIPTING_USER_GID
      arcsight_ip=ARCSIGHT_IP
      
      #Install nfs-utils
      yum install nfs-utils -y
      #Create the directory that will be shared
      mkdir /opt/Correlations
      #Change the permissions
      chmod -R 755 /opt/Correlations/
      chown -R scripting:scripting /opt/Correlations/
      #Start the services and enable them to be started at boot time
      systemctl enable rpcbind
      systemctl enable nfs-server
      systemctl enable nfs-lock
      systemctl enable nfs-idmap
      systemctl start rpcbind
      systemctl start nfs-server
      systemctl start nfs-lock
      systemctl start nfs-idmap
      
      #Edit the exports file as follows
      echo "/opt/Correlations/ $arcsight_ip(rw,sync,all_squash,anonuid=$uid,anongid=$gid)">>/etc/exports
      #Restart the NFS service and export the path
      systemctl restart nfs-server
      exportfs -a
      #If FirewallD is running add the next rules:
      firewall-cmd --permanent --zone=public --add-service=nfs
      firewall-cmd --permanent --zone=public --add-service=mountd
      firewall-cmd --permanent --zone=public --add-service=rpc-bind
      firewall-cmd --reload
      setsebool -P nfs_export_all_rw 1
      

   3. Dichiara le variabili uid, gid e arcisght_ip in base al tuo ambiente.

   4. Concedi le autorizzazioni:

      chmod +x configure_smp_nfs.sh

   5. Esegui lo script:

      ./configure_smp_nfs.sh

Server ArcSight

1. Crea lo script:

   1. Crea un file e chiamalo configure_smp_nfs.sh.

   2. Copia i seguenti contenuti nel file.

      #!/bin/bash
      #Declare the variables:
      siemplify_ip=SIEMPLIFY_IP
      
      #Install nfs-utils
      yum install nfs-utils -y
      #Start the services and enable them to be started at boot time
      systemctl enable rpcbind
      systemctl enable nfs-server
      systemctl enable nfs-lock
      systemctl enable nfs-idmap
      systemctl start rpcbind
      systemctl start nfs-server
      systemctl start nfs-lock
      systemctl start nfs-idmap
      #If FirewallD is running add the next rules:
      firewall-cmd --permanent --zone=public --add-service=nfs
      firewall-cmd --permanent --zone=public --add-service=mountd
      firewall-cmd --permanent --zone=public --add-service=rpc-bind
      firewall-cmd --reload
      #Create the NFS directory mount point
      mkdir -p /mnt/nfs/var/SiemShare
      #Add the values:
      echo "$siemplify_ip:/opt/Correlations /mnt/nfs/var/SiemShare nfs defaults 0 0">>/etc/fstab
      mount -a
      

   3. Dichiara la variabile siemplify_ip in base al tuo ambiente.

Nota per i clienti che utilizzano il percorso precedente

Il programma di installazione dell'hotfix sovrascrive l'autorizzazione della cartella /opt/siemplify/Correlations con siemplifyadmin.

Se utilizzi il percorso precedente e stai applicando l'upgrade, devi ripristinare l'autorizzazione per l'utente di scripting seguendo questi passaggi:

1. Prima di iniziare l'upgrade, arresta il servizio del server NFS:

   _systemctl stop nfs-server_

2. Una volta completato l'upgrade, modifica le autorizzazioni per le cartelle:

   _chmod -R 755 /opt/siemplify/Correlations/_

   _chown -R scripting:scripting/opt/siemplify/Correlations/_

   _systemctl start nfs-server_

   _exportfs -a_

3. Per verificare che il server NFS funzioni correttamente dopo le modifiche, controlla il suo stato:

   _systemctl status nfs-server_

Crea e configura un utente per l'accesso API

1. Accedi alla console ArcSight.

2. Crea un gruppo di utenti Google_SecOps_API e aggiungici un utente Google_SecOps_API. Questo utente verrà utilizzato da Google SecOps tramite l'API ArcSight ESM.

   1. Vai alla scheda Attributi e imposta l'attributo Tipo di utente su Normal User.

   2. Nella scheda Risorse, fai clic con il tasto destro del mouse sul gruppo di utenti creato.

   3. Dal menu, scegli Modifica controllo dell'accesso.

   4. Nella finestra Ispeziona/Modifica dell'editor ACL:

      1. Nella scheda Eventi, aggiungi il filtro creato in precedenza, Google_SecOps_Correlations_Filter. Puoi anche aggiungere qualsiasi filtro di origine per concedere l'accesso a Google SecOps.

      2. Utilizza le impostazioni predefinite per le altre schede.

      3. Fai clic su Aggiungi, seleziona ArcSight System > Core e seleziona la casella di controllo Tutti gli eventi.

         È importante verificare che la casella di controllo Tutti gli eventi sia selezionata. Il requisito minimo è includere tutti gli eventi di correlazione che verranno importati in Google SecOps.

Google Security Operations utilizza i seguenti metodi principali quando utilizza l'API ArcSight ESM:

• Servizio principale: Login, GetSession

• Servizio di gestione: GetSecurityEvents

Accesso alla rete con ArcSight ESM

Per accedere da Google SecOps ad ArcSight ESM, consenti il traffico sulle porte 443 (HTTPS) e 8443 (API su SSL) o come configurato nel tuo ambiente.

Per accedere da ArcSight ESM a Google SecOps, consenti il traffico sulle porte 445 e 139 (SMB/SAMBA/CIFS) o come configurato nel tuo ambiente.

Parametri di integrazione

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Utilizza i seguenti parametri per configurare l'integrazione:

Azioni

Aggiungere voci all'elenco attivo

Descrizione

Fornisce un meccanismo per ottenere informazioni dalle tendenze al di fuori e in aggiunta ai report. Le liste attive aggiornate in base alle tendenze supportano le visualizzazioni riepilogative delle informazioni di più tendenze.

Parametri

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script

Cambia fase della richiesta

Descrizione

Modificare la fase di una richiesta. Le fasi valide sono INITIAL, QUEUED, CLOSED, FINAL e FOLLOW_UP.

Parametri

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script

Get Activelist Entries

Descrizione

Recupera le voci dell'elenco attivo di ArcSight e restituisce l'output CSV.

Parametri

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script

Risultato JSON

[
"12346e4d96f0a72c42015d69aaf0e8ab ,
 file.txt",
 "0e0776034e5e096704cd28cbd40cdbb5 ,
 Test.config"
]

Ottieni risultati query

Descrizione

Ottieni i risultati della query in base all'ID query. Una query può essere utilizzata come origine dati principale per un report o una tendenza (basata su una query) che può essere utilizzata come origine dati per un'altra query che perfeziona ulteriormente il risultato della query iniziale.

Parametri

Casi d'uso

Aggiungi una limitazione al numero di risultati da restituire.

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script

Risultato JSON

[
    {
        "Target User Name": "user",
        "Attacker Address": "192.0.2.1",
        "External ID": "127",
        "Name": "A Kerberos authentication ticket (TGT) was requested.",
        "Target Address": "192.0.2.1"
    },{
        "Target User Name": "user",
        "Attacker Address": "192.0.2.1",
        "External ID": "127",
        "Name": "A Kerberos authentication ticket (TGT) was requested.",
        "Target Address": "192.0.2.1"
    }
]

Scarica report

Descrizione

Ricevi un report con campi dinamici. Un report è una risorsa ArcSight che associa i dati di una query o di una tendenza a un modello di report esistente. Una volta eseguito, i risultati di un report possono essere visualizzati nel riquadro del visualizzatore delle console ArcSight, salvati (archiviati) o esportati in diversi formati. I report possono essere pianificati per essere eseguiti a intervalli regolari e possono essere eseguiti on demand in base alle necessità.

Parametri

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script

Is Value in Activelist Column

Descrizione

Controlla se un valore specifico è presente nell'elenco attivo .

Parametri

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script

Dindin

Descrizione

Testa la connettività.

Parametri

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script

Cerca

Descrizione

Puoi avviare una ricerca in ArcSight Command Center dal canale degli eventi della console. La ricerca Evento completato cerca l'attributo associato, che è memorizzato in diversi campi (ad esempio abc). La ricerca di eventi cerca un valore (ad esempio abc) memorizzato nel campo specificato (ad esempio, nel campo del solo nome).

Parametri

Casi d'uso

Aggiungi una limitazione al numero di risultati da restituire.

Pubblica su

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato dello script

Risultato JSON

[
    {
        "score": 1.2440307,
        "uuid": "UUID",
        "uri": "/All_Fields/ArcSight_Foundation/Variables_Library/IPv6/Attacker_IPv6_Address",
        "name": "Attacker IPv6 Address"
    }, {
        "score": 1.2440307,
        "uuid": "UUID",
        "uri": "/All_Fields/ArcSight_Foundation/Variables_Library/IPv6/Attacker_IPv6_Address",
        "name": "Attacker IPv6 Address"
    }
]

Connettori

Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.

Connettore Arcsight ESM

Questa guida si riferisce ad ArcSight ESM versione 6.9.1 e successive.

Regola ESM o inoltro di casi a Google SecOps

Utilizzo di regole/correlazioni attivate

Dovrai configurare ArcSight ESM per inoltrare gli ultimi oggetti di correlazione a Google SecOps mentre configuri Google SecOps per funzionare su ArcSight ESM come provider SIEM e per fornire l'accesso API ad ArcSight ESM tramite un utente autorizzato.

Questa funzionalità consente a Google SecOps di recuperare qualsiasi regola attivata in ArcSight ESM quasi in tempo reale e inoltrarla per essere tradotta e contestualizzata come avvisi per le richieste.

Flusso di dati tra Google SecOps e ArcSight ESM

Google SecOps indicizza e contestualizza automaticamente le correlazioni che sono state inoltrate a Google SecOps e sono state attivate in ArcSight ESM tramite il modulo ArcSight Forwarding Connector e l'accesso API.

Prioritizzazione della gravità del connettore

Il connettore assegna la gravità con i seguenti valori di priorità:

• 1 e 2 - molto bassa
• 3 e 4 - basso
• 5 e 6 - media
• 7 e 8 - alto
• 9 e 10 - critiche

Input del connettore

Utilizza i seguenti parametri per configurare il connettore:

Regole del connettore

Il connettore supporta i proxy.

ArcSight - Security Events Connector

Estrai le correlazioni da ArcSight. Questo connettore è adatto per il deployment SaaS di Google SecOps ed è quello consigliato per l'uso in produzione.

Questo connettore richiede il completamento dei passaggi preliminari.

Input del connettore

Utilizza i seguenti parametri per configurare il connettore:

Regole del connettore

Il connettore supporta i proxy.

Job

Chiudi richieste

Il job richiede i seguenti parametri:

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.