Integre o ArcSight com o Google SecOps

Este documento descreve como integrar o ArcSight com o Google Security Operations (Google SecOps).

Versão da integração: 42.0

Pré-requisitos do conetor de eventos de segurança

Este conetor funciona com os relatórios que estão a ser gerados automaticamente no ArcSight. O conetor transfere o relatório gerado, extrai os IDs de eventos e, em seguida, usa a API ArcSight para obter mais detalhes sobre os eventos.

Configure o conetor de eventos de segurança

1. Inicie sessão na consola do ArcSight.

2. Navegue para o separador Relatórios e aceda à secção Consulta.

3. Para criar uma nova consulta, introduza o seguinte nome da consulta: Google SecOps SOAR Security Events Connector Query.

   Preste atenção aos parâmetros Hora de início e Hora de fim. Recomendamos que consulte os dados num intervalo de uma hora, mas pode aumentar o intervalo, se necessário.

   Exemplo de configuração:

   • Nome: consulta do conector de eventos de segurança do SOAR do Google SecOps
   • Consulta em: evento
   • Hora de início: $Now - 1h
   • Hora de fim: $Now
   • Usar como indicação de tempo: hora de fim
   • Limite de linhas: 5000

4. Defina campos para a consulta. Em termos de campos, tem de ter o seguinte:

   • ID do evento
   • Nome
   • Hora de início
   • Hora de fim
   • Prioridade

   Certifique-se de que tem Hora de fim ASC na coluna Ordenar por.

5. Defina as Condições. É aqui que pode fornecer o seu próprio filtro.

6. Guardar consulta.

7. Aceda à secção Relatórios e crie um novo relatório. Para especificar o relatório, introduza o seguinte nome: Google SecOps SOAR Security Events Connector Report. Use o mesmo nome para o parâmetro Nome do relatório da configuração do conetor.

8. No separador Dados, selecione a consulta que foi criada nos passos anteriores como Origem de dados.

9. No separador Parâmetros, altere o Formato do relatório para csv de modo a cumprir os requisitos do conetor.

10. Guardar relatório.

11. Indique o nome do relatório na configuração do conetor do parâmetro Nome do relatório.

12. Faça um teste para se certificar de que o conetor funciona conforme esperado.

Configure a pasta partilhada do Google SecOps para o ArcSight

Servidor do Google SecOps

1. Encontre os elementos UID e GID no ficheiro /etc/passwd:

   cat /etc/passwd | grep scripting

   O exemplo de saída do comando é o seguinte:

   scripting:x:1001:1001:/home/scripting:/bin/bash

   O UID é o terceiro campo e o GID é o quarto na saída do comando.

2. Crie o script:

   1. Crie um ficheiro e atribua-lhe o nome configure_smp_nfs.sh.

   2. Copie o seguinte conteúdo para esse ficheiro.

      #!/bin/bash
      
      #Declare the variables:
      uid=SCRIPTING_USER_UID
      gid=SCRIPTING_USER_GID
      arcsight_ip=ARCSIGHT_IP
      
      #Install nfs-utils
      yum install nfs-utils -y
      #Create the directory that will be shared
      mkdir /opt/Correlations
      #Change the permissions
      chmod -R 755 /opt/Correlations/
      chown -R scripting:scripting /opt/Correlations/
      #Start the services and enable them to be started at boot time
      systemctl enable rpcbind
      systemctl enable nfs-server
      systemctl enable nfs-lock
      systemctl enable nfs-idmap
      systemctl start rpcbind
      systemctl start nfs-server
      systemctl start nfs-lock
      systemctl start nfs-idmap
      
      #Edit the exports file as follows
      echo "/opt/Correlations/ $arcsight_ip(rw,sync,all_squash,anonuid=$uid,anongid=$gid)">>/etc/exports
      #Restart the NFS service and export the path
      systemctl restart nfs-server
      exportfs -a
      #If FirewallD is running add the next rules:
      firewall-cmd --permanent --zone=public --add-service=nfs
      firewall-cmd --permanent --zone=public --add-service=mountd
      firewall-cmd --permanent --zone=public --add-service=rpc-bind
      firewall-cmd --reload
      setsebool -P nfs_export_all_rw 1
      

   3. Declare as variáveis uid, gid e arcisght_ip de acordo com o seu ambiente.

   4. Conceda as autorizações:

      chmod +x configure_smp_nfs.sh

   5. Execute o script:

      ./configure_smp_nfs.sh

Servidor ArcSight

1. Crie o script:

   1. Crie um ficheiro e atribua-lhe o nome configure_smp_nfs.sh.

   2. Copie o seguinte conteúdo para esse ficheiro.

      #!/bin/bash
      #Declare the variables:
      siemplify_ip=SIEMPLIFY_IP
      
      #Install nfs-utils
      yum install nfs-utils -y
      #Start the services and enable them to be started at boot time
      systemctl enable rpcbind
      systemctl enable nfs-server
      systemctl enable nfs-lock
      systemctl enable nfs-idmap
      systemctl start rpcbind
      systemctl start nfs-server
      systemctl start nfs-lock
      systemctl start nfs-idmap
      #If FirewallD is running add the next rules:
      firewall-cmd --permanent --zone=public --add-service=nfs
      firewall-cmd --permanent --zone=public --add-service=mountd
      firewall-cmd --permanent --zone=public --add-service=rpc-bind
      firewall-cmd --reload
      #Create the NFS directory mount point
      mkdir -p /mnt/nfs/var/SiemShare
      #Add the values:
      echo "$siemplify_ip:/opt/Correlations /mnt/nfs/var/SiemShare nfs defaults 0 0">>/etc/fstab
      mount -a
      

   3. Declare a variável siemplify_ip de acordo com o seu ambiente.

Nota para os clientes que usam o caminho antigo

O instalador da correção rápida substitui a autorização da pasta /opt/siemplify/Correlations por siemplifyadmin.

Se estiver a usar o caminho antigo e a aplicar a atualização, tem de alterar novamente a autorização para o utilizador de scripts com os seguintes passos:

1. Antes de iniciar a atualização, pare o serviço do servidor NFS:

   _systemctl stop nfs-server_

2. Após a conclusão da atualização, altere as autorizações da pasta:

   _chmod -R 755 /opt/siemplify/Correlations/_

   _chown -R scripting:scripting/opt/siemplify/Correlations/_

   _systemctl start nfs-server_

   _exportfs -a_

3. Para confirmar que o servidor NFS está a funcionar corretamente após as alterações, verifique o respetivo estado:

   _systemctl status nfs-server_

Crie e configure um utilizador para acesso à API

1. Inicie sessão na consola do ArcSight.

2. Crie um Google_SecOps_API grupo de utilizadores e adicione um Google_SecOps_API utilizador ao mesmo. Este utilizador vai ser usado pelo Google SecOps através da API ArcSight ESM.

   1. Aceda ao separador Atributos e defina o atributo Tipo de utilizador como Normal User.

   2. No separador Recursos, clique com o botão direito do rato no grupo de utilizadores criado.

   3. No menu, escolha Editar controlo de acesso.

   4. Na janela Inspeção/Edição do editor de LCA:

      1. No separador Eventos, adicione o filtro criado anteriormente, Google_SecOps_Correlations_Filter. Também pode adicionar qualquer filtro de origem para conceder acesso ao Google SecOps.

      2. Usar as predefinições para outros separadores.

      3. Clique em Adicionar, selecione ArcSight System > Core e selecione a caixa de verificação Todos os eventos.

         É importante verificar se a caixa de verificação Todos os eventos está selecionada. O requisito mínimo é incluir todos os eventos de correlação que vão ser carregados para o Google SecOps.

As operações de segurança da Google usam os seguintes métodos principais quando usam a API ArcSight ESM:

• Serviço principal: Login, GetSession

• Serviço de gestor: GetSecurityEvents

Acesso à rede com o ArcSight ESM

Para aceder do Google SecOps ao ArcSight ESM, permita o tráfego através das portas 443 (HTTPS) e 8443 (API através de SSL) ou conforme configurado no seu ambiente.

Para aceder do ArcSight ESM ao Google SecOps, permita o tráfego através das portas 445 e 139 (SMB/SAMBA/CIFS) ou conforme configurado no seu ambiente.

Parâmetros de integração

Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Use os seguintes parâmetros para configurar a integração:

Ações

Adicione entradas à lista ativa

Descrição

Oferece um mecanismo para obter informações de tendências fora dos relatórios e, além disso. As listas ativas atualizadas por tendências suportam vistas de resumo de informações de várias tendências.

Parâmetros

É apresentado em

Esta ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Altere a fase do registo

Descrição

Altere a fase de um registo. As fases válidas são INITIAL, QUEUED, CLOSED, FINAL e FOLLOW_UP.

Parâmetros

É apresentado em

Esta ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Get Activelist Entries

Descrição

Apresente entradas da lista ativa do ArcSight e devolva a saída CSV.

Parâmetros

É apresentado em

Esta ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Resultado JSON

[
"12346e4d96f0a72c42015d69aaf0e8ab ,
 file.txt",
 "0e0776034e5e096704cd28cbd40cdbb5 ,
 Test.config"
]

Obtenha resultados da consulta

Descrição

Obtenha resultados de consultas através do ID da consulta. Uma consulta pode ser usada como a origem de dados principal para um relatório ou uma tendência (com base numa consulta) que pode ser usada como a origem de dados para outra consulta que refina ainda mais o resultado da consulta inicial.

Parâmetros

Exemplos de utilização

Adicione uma limitação para o número de resultados a devolver.

É apresentado em

Esta ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Resultado JSON

[
    {
        "Target User Name": "user",
        "Attacker Address": "192.0.2.1",
        "External ID": "127",
        "Name": "A Kerberos authentication ticket (TGT) was requested.",
        "Target Address": "192.0.2.1"
    },{
        "Target User Name": "user",
        "Attacker Address": "192.0.2.1",
        "External ID": "127",
        "Name": "A Kerberos authentication ticket (TGT) was requested.",
        "Target Address": "192.0.2.1"
    }
]

Obter relatório

Descrição

Receba um relatório com campos dinâmicos. Um relatório é um recurso do ArcSight que associa dados de uma consulta ou tendência a um modelo de relatório existente. Depois de executados, os resultados de um relatório podem ser vistos no painel do visualizador das consolas do ArcSight, guardados (arquivados) ou exportados em vários formatos. Os relatórios podem ser programados para serem executados a intervalos regulares e podem ser executados a pedido, conforme necessário.

Parâmetros

É apresentado em

Esta ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Is Value in Activelist Column

Descrição

Verifique se um valor específico está na lista ativa .

Parâmetros

É apresentado em

Esta ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Tchim-tchim

Descrição

Testar conetividade.

Parâmetros

É apresentado em

Esta ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Pesquisar

Descrição

Pode iniciar uma pesquisa no centro de comandos do ArcSight a partir do canal de eventos da consola. A pesquisa Event Complete procura o atributo associado, que é armazenado em vários campos (por exemplo, abc). A pesquisa de eventos procura um valor (por exemplo, abc) armazenado no campo especificado (por exemplo, no campo de nome apenas).

Parâmetros

Exemplos de utilização

Adicione uma limitação para o número de resultados a devolver.

É apresentado em

Esta ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Resultado JSON

[
    {
        "score": 1.2440307,
        "uuid": "UUID",
        "uri": "/All_Fields/ArcSight_Foundation/Variables_Library/IPv6/Attacker_IPv6_Address",
        "name": "Attacker IPv6 Address"
    }, {
        "score": 1.2440307,
        "uuid": "UUID",
        "uri": "/All_Fields/ArcSight_Foundation/Variables_Library/IPv6/Attacker_IPv6_Address",
        "name": "Attacker IPv6 Address"
    }
]

Conetores

Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.

Conetor do Arcsight ESM

Este guia refere-se às versões 6.9.1 e superiores do ArcSight ESM.

Regra de ESM ou encaminhamento de registos para o Google SecOps

Trabalhar com regras/correlações acionadas

Tem de configurar o ArcSight ESM para encaminhar os objetos de correlação mais recentes para o Google SecOps enquanto configura o Google SecOps para funcionar no ArcSight ESM como um fornecedor de SIEM e também para fornecer acesso à API ao ArcSight ESM através de um utilizador autorizado.

Esta funcionalidade permite ao Google SecOps obter todas as regras acionadas no ArcSight ESM quase em tempo real e encaminhá-las para serem traduzidas e contextualizadas como alertas para registos.

Fluxo de dados entre o Google SecOps e o ArcSight ESM

O Google SecOps indexa e contextualiza automaticamente as correlações que foram encaminhadas para o Google SecOps e acionadas no ArcSight ESM através do módulo ArcSight Forwarding Connector e do acesso à API.

Priorização da gravidade do conetor

O conector atribui a gravidade com os seguintes valores de priorização:

• 1 e 2 – muito baixa
• 3 e 4 – baixo
• 5 e 6 – médio
• 7 e 8 – elevado
• 9 e 10: importantes

Entradas do conetor

Use os seguintes parâmetros para configurar o conector:

Regras de conector

O conetor suporta proxies.

ArcSight - Security Events Connector

Extraia correlações do ArcSight. Este conetor é adequado para a implementação de SaaS do Google SecOps e é o recomendado para utilização em produção.

Este conetor requer a conclusão dos passos prévios.

Entradas do conetor

Use os seguintes parâmetros para configurar o conector:

Regras de conector

O conetor suporta proxies.

Empregos

Feche registos

A tarefa requer os seguintes parâmetros:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.