Google SecOps와 ArcSight 통합

이 문서에서는 ArcSight를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.

통합 버전: 42.0

보안 이벤트 커넥터 기본 요건

이 커넥터는 ArcSight에서 자동으로 생성되는 보고서와 함께 작동합니다. 커넥터는 생성된 보고서를 다운로드하고 이벤트 ID를 추출한 다음 ArcSight API를 사용하여 이벤트에 대한 자세한 내용을 가져옵니다.

보안 이벤트 커넥터 구성

  1. ArcSight 콘솔에 로그인합니다.

  2. 보고서 탭으로 이동하여 쿼리 섹션으로 이동합니다.

  3. 새 쿼리를 만들려면 Google SecOps SOAR Security Events Connector Query 쿼리 이름을 입력합니다.

    시작 시간종료 시간 매개변수에 주의하세요. 1시간 간격으로 데이터를 쿼리하는 것이 좋지만 필요한 경우 간격을 늘릴 수 있습니다.

    구성 예:

    • 이름: Google SecOps SOAR 보안 이벤트 커넥터 쿼리
    • 문의 내용: 이벤트
    • 시작 시간: $Now - 1h
    • 종료 시간: $Now
    • 타임스탬프로 사용: 종료 시간
    • 행 제한: 5,000

  4. 쿼리의 필드를 정의합니다. 필드 측면에서는 다음이 필요합니다.

    • 이벤트 ID
    • 이름
    • 시작 시간
    • 종료 시간
    • 우선순위

    정렬 기준 열에 종료 시간 오름차순이 있는지 확인합니다.

  5. 조건을 설정합니다. 여기에서 자체 필터를 제공할 수 있습니다.

  6. 쿼리를 저장합니다.

  7. 보고서 섹션으로 이동하여 새 보고서를 만듭니다. 보고서를 지정하려면 Google SecOps SOAR Security Events Connector Report 이름을 입력합니다. 커넥터 구성의 보고서 이름 매개변수에 동일한 이름을 사용합니다.

  8. 데이터 탭에서 이전 단계에서 만든 쿼리를 데이터 소스로 선택합니다.

  9. 매개변수 탭에서 커넥터 요구사항을 충족하도록 보고서 형식csv로 변경합니다.

  10. 보고서를 저장합니다.

  11. 보고서 이름 매개변수의 커넥터 구성에 보고서 이름을 입력합니다.

  12. 테스트 실행을 통해 커넥터가 예상대로 작동하는지 확인합니다.

ArcSight용 Google SecOps 공유 폴더 구성

Google SecOps 서버

  1. /etc/passwd 파일에서 UIDGID를 찾습니다.

    cat /etc/passwd | grep scripting

    명령어의 출력 예시는 다음과 같습니다.

    scripting:x:1001:1001:/home/scripting:/bin/bash

    UID는 세 번째 필드이고 GID는 명령 출력의 네 번째 필드입니다.

  2. 스크립트를 만듭니다.

    1. 파일을 만들고 이름을 configure_smp_nfs.sh로 지정합니다.

    2. 다음 콘텐츠를 파일에 복사합니다.

      #!/bin/bash

#Declare the variables:
uid=SCRIPTING_USER_UID
gid=SCRIPTING_USER_GID
arcsight_ip=ARCSIGHT_IP

#Install nfs-utils
yum install nfs-utils -y
#Create the directory that will be shared
mkdir /opt/Correlations
#Change the permissions
chmod -R 755 /opt/Correlations/
chown -R scripting:scripting /opt/Correlations/
#Start the services and enable them to be started at boot time
systemctl enable rpcbind
systemctl enable nfs-server
systemctl enable nfs-lock
systemctl enable nfs-idmap
systemctl start rpcbind
systemctl start nfs-server
systemctl start nfs-lock
systemctl start nfs-idmap

#Edit the exports file as follows
echo "/opt/Correlations/ $arcsight_ip(rw,sync,all_squash,anonuid=$uid,anongid=$gid)">>/etc/exports
#Restart the NFS service and export the path
systemctl restart nfs-server
exportfs -a
#If FirewallD is running add the next rules:
firewall-cmd --permanent --zone=public --add-service=nfs
firewall-cmd --permanent --zone=public --add-service=mountd
firewall-cmd --permanent --zone=public --add-service=rpc-bind
firewall-cmd --reload
setsebool -P nfs_export_all_rw 1

    3. 환경에 따라 uid, gid, arcisght_ip 변수를 선언합니다.

    4. 권한을 부여합니다.

      chmod +x configure_smp_nfs.sh

    5. 스크립트를 실행합니다.

      ./configure_smp_nfs.sh

ArcSight 서버

  1. 스크립트를 만듭니다.

    1. 파일을 만들고 이름을 configure_smp_nfs.sh로 지정합니다.

    2. 다음 콘텐츠를 파일에 복사합니다.

      #!/bin/bash
#Declare the variables:
siemplify_ip=SIEMPLIFY_IP

#Install nfs-utils
yum install nfs-utils -y
#Start the services and enable them to be started at boot time
systemctl enable rpcbind
systemctl enable nfs-server
systemctl enable nfs-lock
systemctl enable nfs-idmap
systemctl start rpcbind
systemctl start nfs-server
systemctl start nfs-lock
systemctl start nfs-idmap
#If FirewallD is running add the next rules:
firewall-cmd --permanent --zone=public --add-service=nfs
firewall-cmd --permanent --zone=public --add-service=mountd
firewall-cmd --permanent --zone=public --add-service=rpc-bind
firewall-cmd --reload
#Create the NFS directory mount point
mkdir -p /mnt/nfs/var/SiemShare
#Add the values:
echo "$siemplify_ip:/opt/Correlations /mnt/nfs/var/SiemShare nfs defaults 0 0">>/etc/fstab
mount -a

    3. 환경에 따라 siemplify_ip 변수를 선언합니다.

이전 경로를 사용하는 고객 참고사항

핫픽스 설치 프로그램이 /opt/siemplify/Correlations 폴더 권한을 siemplifyadmin로 덮어씁니다.

이전 경로를 사용하고 업그레이드를 적용하는 경우 다음 단계에 따라 권한을 스크립팅 사용자로 다시 변경해야 합니다.

  1. 업그레이드를 시작하기 전에 NFS 서버 서비스를 중지합니다.

    _systemctl stop nfs-server_

  2. 업그레이드가 완료되면 폴더 권한을 변경합니다.

    _chmod -R 755 /opt/siemplify/Correlations/_

    _chown -R scripting:scripting/opt/siemplify/Correlations/_

    _systemctl start nfs-server_

    _exportfs -a_

  3. 변경 후 NFS 서버가 올바르게 작동하는지 확인하려면 상태를 확인하세요.

    _systemctl status nfs-server_

API 액세스용 사용자 만들기 및 구성

  1. ArcSight 콘솔에 로그인합니다.

  2. Google_SecOps_API 사용자 그룹을 만들고 Google_SecOps_API 사용자를 추가합니다. 이 사용자는 ArcSight ESM API를 통해 Google SecOps에서 사용됩니다.

    1. 속성 탭으로 이동하여 사용자 유형 속성을 Normal User로 설정합니다.

    2. 리소스 탭에서 생성된 사용자 그룹을 마우스 오른쪽 버튼으로 클릭합니다.

    3. 메뉴에서 액세스 제어 수정을 선택합니다.

    4. ACL 편집기의 검사/수정 창에서 다음을 수행합니다.

      1. 이벤트 탭에서 이전에 만든 필터 Google_SecOps_Correlations_Filter를 추가합니다. Google SecOps 액세스 권한을 부여하기 위해 소스 필터를 추가할 수도 있습니다.

      2. 다른 탭에는 기본 설정을 사용합니다.

      3. 추가를 클릭하고 ArcSight System > Core를 선택한 다음 All Events 체크박스를 선택합니다.

        모든 이벤트 체크박스가 선택되어 있는지 확인하는 것이 중요합니다. 최소 요구사항은 Google SecOps에 수집될 모든 상관관계 이벤트를 포함하는 것입니다.

Google Security Operations는 ArcSight ESM API를 사용할 때 다음 주요 메서드를 사용합니다.

  • 핵심 서비스: Login, GetSession

  • 관리자 서비스: GetSecurityEvents

ArcSight ESM을 사용한 네트워크 액세스

Google SecOps에서 ArcSight ESM에 액세스하려면 포트 443 (HTTPS) 및 8443 (SSL을 통한 API)을 통한 트래픽을 허용하거나 환경에 구성된 대로 허용합니다.

ArcSight ESM에서 Google SecOps에 액세스하려면 포트 445 및 139 (SMB/SAMBA/CIFS)를 통한 트래픽을 허용하거나 환경에 구성된 대로 허용하세요.

함수 포트 방향 프로토콜
NFS 111, 1039, 1047, 1048, 2049 아웃바운드 및 인바운드 UDP
NFS 111, 1039, 1047, 1048, 2049 아웃바운드 및 인바운드 TCP

통합 매개변수

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

다음 매개변수를 사용하여 통합을 구성합니다.

매개변수 이름 유형 기본값 필수 항목 설명
인스턴스 이름 문자열 해당 사항 없음 아니요 통합을 구성할 인스턴스의 이름입니다.
설명 문자열 해당 사항 없음 아니요 인스턴스에 대한 설명입니다.
API 루트 문자열 https://{IP}:{PORT} ArcSight 인스턴스의 서버 주소입니다.
사용자 이름 문자열 해당 사항 없음 ArcSight 계정의 사용자 이름입니다.
비밀번호 비밀번호 해당 사항 없음 ArcSight 계정의 비밀번호입니다.
원격 실행 체크박스 선택 해제 No 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다.

작업

활성 목록에 항목 추가

설명

보고서 외부의 트렌드에서 정보를 가져오는 메커니즘을 제공합니다. 트렌드에 따라 업데이트되는 활성 목록은 여러 트렌드의 정보에 대한 요약 보기를 지원합니다.

매개변수

매개변수 이름 유형 기본값 필수 항목 설명
문자열 해당 사항 없음 예: Message;Username
항목 문자열 해당 사항 없음 예: test1|Me1;Test|Me2
활성 목록 UUID 문자열 해당 사항 없음 예: HCN75QGABABCZXCOdT9P51w==

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_succeed True 또는 False is_succeed:False

케이스 단계 변경

설명

케이스의 단계를 변경합니다. 유효한 단계는 INITIAL, QUEUED, CLOSED, FINAL, FOLLOW_UP입니다.

매개변수

매개변수 이름 유형 기본값 필수 항목 설명
케이스 이름 문자열 해당 사항 없음 업데이트할 케이스의 이름입니다.
단계 문자열 해당 사항 없음 케이스의 단계입니다. 예: CLOSED, INITIAL

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
성공 True 또는 False success:False

Activelist 항목 가져오기

설명

ArcSight 활성 목록 항목을 가져오고 csv 출력을 반환합니다.

매개변수

매개변수 이름 유형 기본값 필수 항목 설명
활성 목록 UUID 문자열 해당 사항 없음 예: HTcILQWABABCr553ieI0Xmw==

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
Success_Indicator 해당 사항 없음 해당 사항 없음
JSON 결과
[
"12346e4d96f0a72c42015d69aaf0e8ab ,
 file.txt",
 "0e0776034e5e096704cd28cbd40cdbb5 ,
 Test.config"
]

쿼리 결과 가져오기

설명

쿼리 ID로 쿼리 결과를 가져옵니다. 쿼리는 보고서의 기본 데이터 소스로 사용하거나, 초기 쿼리 결과를 추가로 구체화하는 다른 쿼리의 데이터 소스로 사용할 수 있는 추세 (하나의 쿼리 기반)로 사용할 수 있습니다.

매개변수

매개변수 이름 유형 기본값 필수 항목 설명
쿼리 ID 문자열 해당 사항 없음 쿼리 ID입니다.
반환할 최대 항목 수 정수 100 아니요 응답에서 반환할 항목 수를 지정합니다.

사용 사례

반환할 결과 수에 대한 제한 추가

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
성공 True 또는 False success:False
JSON 결과
[
    {
        "Target User Name": "user",
        "Attacker Address": "192.0.2.1",
        "External ID": "127",
        "Name": "A Kerberos authentication ticket (TGT) was requested.",
        "Target Address": "192.0.2.1"
    },{
        "Target User Name": "user",
        "Attacker Address": "192.0.2.1",
        "External ID": "127",
        "Name": "A Kerberos authentication ticket (TGT) was requested.",
        "Target Address": "192.0.2.1"
    }
]

보고서 받기

설명

동적 필드가 포함된 보고서를 가져옵니다. 보고서는 쿼리 또는 추세의 데이터를 기존 보고서 템플릿에 바인딩하는 ArcSight 리소스입니다. 실행된 보고서의 결과는 ArcSight 콘솔 뷰어 패널에서 볼 수 있으며, 저장(보관)하거나 다양한 형식으로 내보낼 수 있습니다. 보고서는 정기적으로 실행되도록 예약할 수 있으며 필요에 따라 주문형으로 실행할 수 있습니다.

매개변수

매개변수 이름 유형 기본값 필수 항목 설명
전체 경로 (URI) 보고 문자열 해당 사항 없음 관련 보고서 URI입니다.
필드 2 문자열 해당 사항 없음 아니요 보고서를 생성할 쿼리의 동적 필드입니다.
필드 3 문자열 해당 사항 없음 아니요 보고서를 생성할 쿼리의 동적 필드입니다.
필드 4 문자열 해당 사항 없음 아니요 보고서를 생성할 쿼리의 동적 필드입니다.
필드 6 문자열 해당 사항 없음 아니요 보고서를 생성할 쿼리의 동적 필드입니다.
필드 6 문자열 해당 사항 없음 아니요 보고서를 생성할 쿼리의 동적 필드입니다.
필드 7 문자열 해당 사항 없음 아니요 보고서를 생성할 쿼리의 동적 필드입니다.
필드 8 문자열 해당 사항 없음 아니요 보고서를 생성할 쿼리의 동적 필드입니다.
필드 9 문자열 해당 사항 없음 아니요 보고서를 생성할 쿼리의 동적 필드입니다.
필드 10 문자열 해당 사항 없음 아니요 보고서를 생성할 쿼리의 동적 필드입니다.

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
json_report 해당 사항 없음 해당 사항 없음

값이 Activelist 열에 있음

설명

특정 값이 활성 목록에 있는지 확인합니다 .

매개변수

매개변수 이름 유형 기본값 필수 항목 설명
활성 목록 UUID 문자열 해당 사항 없음 활성 목록 UUID입니다. 예: cuser
열 이름 문자열 해당 사항 없음 열의 이름입니다. 예: sourceUserName

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
Success_Indicator 해당 사항 없음 해당 사항 없음

설명

연결을 테스트합니다.

매개변수

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
is_succeed True 또는 False is_succeed:False

설명

콘솔 이벤트 채널에서 ArcSight Command Center에서 검색을 시작할 수 있습니다. 이벤트 완전 검색은 여러 필드 (예: abc)에 저장된 연결된 속성을 찾습니다. 이벤트 검색은 지정된 필드 (예: 이름 필드만)에 저장된 값 (예: abc)을 검색합니다.

매개변수

매개변수 이름 유형 기본값 필수 항목 설명
검색어 문자열 해당 사항 없음 검색어입니다.
반환할 최대 항목 수 정수 100 아니요 응답에서 반환할 항목 수를 지정합니다.

사용 사례

반환할 결과 수에 대한 제한 추가

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

스크립트 결과
스크립트 결과 이름 값 옵션
성공 True 또는 False success:False
JSON 결과
[
    {
        "score": 1.2440307,
        "uuid": "UUID",
        "uri": "/All_Fields/ArcSight_Foundation/Variables_Library/IPv6/Attacker_IPv6_Address",
        "name": "Attacker IPv6 Address"
    }, {
        "score": 1.2440307,
        "uuid": "UUID",
        "uri": "/All_Fields/ArcSight_Foundation/Variables_Library/IPv6/Attacker_IPv6_Address",
        "name": "Attacker IPv6 Address"
    }
]

커넥터

Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.

Arcsight ESM 커넥터

이 가이드에서는 ArcSight ESM 버전 6.9.1 이상을 참조합니다.

ESM 규칙 또는 케이스를 Google SecOps로 전달

트리거된 규칙/상관관계 작업

Google SecOps를 SIEM 제공업체로 ArcSight ESM에서 작동하도록 구성하고 승인된 사용자를 통해 ArcSight ESM에 API 액세스를 제공하는 동안 최신 상관관계 객체를 Google SecOps로 전달하도록 ArcSight ESM을 구성해야 합니다.

이 기능을 사용하면 Google SecOps가 ArcSight ESM 내에서 트리거된 규칙을 거의 실시간으로 가져와 사례의 알림으로 번역되고 맥락화되도록 전달할 수 있습니다.

Google SecOps와 ArcSight ESM 간의 데이터 흐름

Google SecOps는 ArcSight 전달 커넥터 모듈 및 API 액세스를 통해 Google SecOps로 전달되고 ArcSight ESM에서 트리거된 상관관계를 자동으로 색인화하고 맥락화합니다.

커넥터 심각도 우선순위 지정

커넥터는 다음 우선순위 값을 사용하여 심각도를 할당합니다.

  • 1과 2 - 매우 낮음
  • 3, 4 - 낮음
  • 5, 6 - 중간
  • 7 및 8 - 높음
  • 9와 10 - 심각

커넥터 입력

다음 매개변수를 사용하여 커넥터를 구성합니다.

매개변수 이름 유형 기본값 필수 항목 설명
환경 DDL 해당 사항 없음

필요한 환경(예: Customer One)을 선택합니다.

알림의 환경 필드가 비어 있는 경우 이 알림이 이 환경에 삽입됩니다.
실행 빈도 정수 0:0:0:10 아니요 연결을 실행할 시간을 선택합니다.
제품 필드 이름 문자열 device_product 아니요

제품 이름이 저장된 필드의 이름입니다.

기본값은 device_product입니다.

제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값 device_product은 코드에서 참조되는 대체 값으로 확인됩니다. 이 매개변수의 잘못된 입력은 기본적으로 대체 값으로 처리됩니다.
이벤트 필드 이름 문자열 name 아니요 이벤트 이름(하위 유형)을 결정하는 데 사용되는 필드 이름입니다.
스크립트 제한 시간 (초) 문자열 500 아니요 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도 (초)입니다.
서버 주소 문자열 해당 사항 없음 https://{IP}:{PORT}
사용자 이름 문자열 해당 사항 없음 ArcSight 계정의 사용자 이름입니다.
비밀번호 비밀번호 해당 사항 없음 ArcSight 계정의 비밀번호입니다.
이벤트 수 제한 정수 15 상관관계별로 가져올 최대 이벤트 수를 입력합니다. 이벤트 수를 제한합니다(예: 10개).
Cases Folder Path(케이스 폴더 경로) 문자열 I:\SiemShare\CorrelationSource

케이스 파일의 위치(예: I:\SiemShare\CorrelationSource)

참고: Cases Folder Path(케이스 폴더 경로) 매개변수는 고객마다 다를 수 있습니다.

전체 경로입니다. 예: C:\Desktop\CorrelationSource
알림 수 제한 정수 10 커넥터 주기당 처리할 최대 알림 수입니다(예: 10).
환경 필드 이름 문자열 event.customerURI 케이스의 환경을 가져올 필드의 이름입니다(예: event.customerUri).
보조 기기 제품 필드 문자열 해당 사항 없음 아니요 커넥터의 DeviceProductField를 보조 제품 필드의 값으로 대체합니다. 예: CustomDeviceString2
알림 맞춤 필드 이름 문자열 해당 사항 없음 아니요 ArcSight에서 기본EventCount, agent_address, device_assetId와 같은 맞춤 필드 값을 알림으로 가져옵니다.
완료된 파일 보관 기간(일) 정수 3 각 DONE csv 파일을 보관할 일수입니다.
오류 파일 보관 기간(일) 정수 14 각 오류 csv 파일을 보관할 일수입니다.
프록시 서버 주소 문자열 해당 사항 없음 아니요 사용할 프록시 서버의 주소입니다.
프록시 사용자 이름 문자열 해당 사항 없음 아니요 인증할 프록시 사용자 이름입니다.
프록시 비밀번호 비밀번호 해당 사항 없음 아니요 인증할 프록시 비밀번호입니다.

커넥터 규칙

커넥터가 프록시를 지원합니다.

ArcSight - 보안 관련 활동 커넥터

ArcSight에서 상관관계를 가져옵니다. 이 커넥터는 Google SecOps의 SaaS 배포에 적합하며 프로덕션 용도로 권장됩니다.

이 커넥터를 사용하려면 기본 요건 단계를 완료해야 합니다.

커넥터 입력

다음 매개변수를 사용하여 커넥터를 구성합니다.

매개변수 표시 이름 유형 기본값 필수 항목 설명
제품 필드 이름 문자열 유형

제품 이름이 저장된 필드의 이름입니다.

기본값은 type입니다.

제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값 type은 코드에서 참조되는 대체 값으로 확인됩니다. 이 매개변수의 잘못된 입력은 기본적으로 대체 값으로 처리됩니다.
이벤트 필드 이름 문자열 name

이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다.
환경 필드 이름 문자열 "" 아니요

환경 이름이 저장된 필드의 이름입니다.

환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다.
Environment Regex Pattern 문자열 .* FALSE 아니요

Environment Field Name 필드에 있는 값에서 실행할 정규 표현식 패턴입니다. 이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다.

기본값 .*를 사용하여 필요한 원시 Environment Field Name 값을 가져옵니다.

정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.
스크립트 제한 시간(초) 정수 360

현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다.
API 루트 문자열 https://{ip} ArcSight 인스턴스의 API 루트입니다.
사용자 이름 문자열 해당 사항 없음 ArcSight 계정의 사용자 이름입니다.
비밀번호 비밀번호 해당 사항 없음 ArcSight 계정의 비밀번호입니다.
보고서 이름 문자열 해당 사항 없음 이벤트를 가져오는 데 사용될 보고서의 이름입니다.
기본 이벤트 가져오기 체크박스 선택 사용 설정된 경우 커넥터는 기본 이벤트도 가져옵니다.
가져올 가장 낮은 우선순위 정수 해당 사항 없음 아니요 이벤트를 가져오는 데 사용할 가장 낮은 우선순위입니다. 가능한 값은 1~10 범위에 있습니다. 아무것도 제공하지 않으면 모든 이벤트가 수집됩니다.
가져올 최대 이벤트 수 정수 100 아니요 커넥터 반복당 처리할 알림 수입니다. 허용되는 최대값은 1,000입니다.
동적 목록을 차단 목록으로 사용 체크박스 선택

선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다.
SSL 확인 체크박스 선택 해제 선택하면 통합에서 ArcSight 서버에 연결할 때 SSL 인증서를 검증합니다.
프록시 서버 주소 문자열 해당 사항 없음 아니요 사용할 프록시 서버의 주소입니다.
프록시 사용자 이름 문자열 해당 사항 없음 아니요 인증할 프록시 사용자 이름입니다.
프록시 비밀번호 비밀번호 아니요 인증할 프록시 비밀번호입니다.

커넥터 규칙

커넥터가 프록시를 지원합니다.

작업

케이스 종료

작업에는 다음 매개변수가 필요합니다.

매개변수 이름 유형 기본값 필수 항목 설명
서버 주소 문자열 192.0.2.1 해당 사항 없음
사용자 이름 문자열 해당 사항 없음 해당 사항 없음
비밀번호 비밀번호 해당 사항 없음 해당 사항 없음

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.