Integrar o ArcSight ao Google SecOps

Este documento descreve como integrar o ArcSight ao Google Security Operations (Google SecOps).

Versão da integração: 42.0

Pré-requisitos do conector de eventos de segurança

Esse conector funciona com os relatórios gerados automaticamente no ArcSight. O conector baixa o relatório gerado, extrai IDs de eventos e usa a API do ArcSight para receber mais detalhes sobre os eventos.

Configurar o conector de eventos de segurança

1. Faça login no console do ArcSight.

2. Acesse a guia Relatórios e vá até a seção Consulta.

3. Para criar uma consulta, insira o seguinte nome: Google SecOps SOAR Security Events Connector Query.

   Preste atenção aos parâmetros Horário de início e Horário de término. Recomendamos consultar dados em um intervalo de uma hora, mas é possível aumentar esse período, se necessário.

   Exemplo de configuração:

   • Nome:Google SecOps SOAR Security Events Connector Query
   • Consulta em:evento
   • Horário de início:$Now - 1h
   • Horário de término:$Now
   • Usar como carimbo de data/hora:horário de término
   • Limite de linhas:5.000

4. Defina os campos da consulta. Em termos de campos, você precisa ter o seguinte:

   • ID do evento
   • Nome
   • Horário de início
   • Horário de término
   • Prioridade

   Verifique se você tem Hora de término ASC na coluna Ordenar por.

5. Defina as condições. É aqui que você pode fornecer seu próprio filtro.

6. Salve a consulta.

7. Acesse a seção Relatórios e crie um relatório. Para especificar o relatório, insira o seguinte nome: Google SecOps SOAR Security Events Connector Report. Use o mesmo nome para o parâmetro Nome do relatório da configuração do conector.

8. Na guia Dados, selecione a consulta criada nas etapas anteriores como Fonte de dados.

9. Na guia Parâmetros, mude o Formato do relatório para csv e atenda aos requisitos do conector.

10. Salve o relatório.

11. Informe o nome do relatório na configuração do conector no parâmetro Nome do relatório.

12. Faça um teste para verificar se o conector funciona conforme o esperado.

Configurar a pasta compartilhada do Google SecOps para o ArcSight

Servidor do Google SecOps

1. Encontre UID e GID no arquivo /etc/passwd:

   cat /etc/passwd | grep scripting

   Confira um exemplo de saída do comando:

   scripting:x:1001:1001:/home/scripting:/bin/bash

   O UID é o terceiro campo e o GID é o quarto na saída do comando.

2. Crie o script:

   1. Crie um arquivo e chame-o de configure_smp_nfs.sh.

   2. Copie o conteúdo a seguir para esse arquivo.

      #!/bin/bash
      
      #Declare the variables:
      uid=SCRIPTING_USER_UID
      gid=SCRIPTING_USER_GID
      arcsight_ip=ARCSIGHT_IP
      
      #Install nfs-utils
      yum install nfs-utils -y
      #Create the directory that will be shared
      mkdir /opt/Correlations
      #Change the permissions
      chmod -R 755 /opt/Correlations/
      chown -R scripting:scripting /opt/Correlations/
      #Start the services and enable them to be started at boot time
      systemctl enable rpcbind
      systemctl enable nfs-server
      systemctl enable nfs-lock
      systemctl enable nfs-idmap
      systemctl start rpcbind
      systemctl start nfs-server
      systemctl start nfs-lock
      systemctl start nfs-idmap
      
      #Edit the exports file as follows
      echo "/opt/Correlations/ $arcsight_ip(rw,sync,all_squash,anonuid=$uid,anongid=$gid)">>/etc/exports
      #Restart the NFS service and export the path
      systemctl restart nfs-server
      exportfs -a
      #If FirewallD is running add the next rules:
      firewall-cmd --permanent --zone=public --add-service=nfs
      firewall-cmd --permanent --zone=public --add-service=mountd
      firewall-cmd --permanent --zone=public --add-service=rpc-bind
      firewall-cmd --reload
      setsebool -P nfs_export_all_rw 1
      

   3. Declare as variáveis uid, gid e arcisght_ip de acordo com seu ambiente.

   4. Conceda as permissões:

      chmod +x configure_smp_nfs.sh

   5. Execute o script:

      ./configure_smp_nfs.sh

Servidor ArcSight

1. Crie o script:

   1. Crie um arquivo e chame-o de configure_smp_nfs.sh.

   2. Copie o conteúdo a seguir para esse arquivo.

      #!/bin/bash
      #Declare the variables:
      siemplify_ip=SIEMPLIFY_IP
      
      #Install nfs-utils
      yum install nfs-utils -y
      #Start the services and enable them to be started at boot time
      systemctl enable rpcbind
      systemctl enable nfs-server
      systemctl enable nfs-lock
      systemctl enable nfs-idmap
      systemctl start rpcbind
      systemctl start nfs-server
      systemctl start nfs-lock
      systemctl start nfs-idmap
      #If FirewallD is running add the next rules:
      firewall-cmd --permanent --zone=public --add-service=nfs
      firewall-cmd --permanent --zone=public --add-service=mountd
      firewall-cmd --permanent --zone=public --add-service=rpc-bind
      firewall-cmd --reload
      #Create the NFS directory mount point
      mkdir -p /mnt/nfs/var/SiemShare
      #Add the values:
      echo "$siemplify_ip:/opt/Correlations /mnt/nfs/var/SiemShare nfs defaults 0 0">>/etc/fstab
      mount -a
      

   3. Declare a variável siemplify_ip de acordo com seu ambiente.

Observação para clientes que usam o caminho antigo

O instalador do hotfix substitui a permissão da pasta /opt/siemplify/Correlations por siemplifyadmin.

Se você estiver usando o caminho antigo e aplicando o upgrade, mude a permissão de volta para o usuário de script seguindo estas etapas:

1. Antes de iniciar o upgrade, pare o serviço do servidor NFS:

   _systemctl stop nfs-server_

2. Depois que o upgrade for concluído, mude as permissões da pasta:

   _chmod -R 755 /opt/siemplify/Correlations/_

   _chown -R scripting:scripting/opt/siemplify/Correlations/_

   _systemctl start nfs-server_

   _exportfs -a_

3. Para confirmar se o servidor NFS está funcionando corretamente após as mudanças, verifique o status dele:

   _systemctl status nfs-server_

Criar e configurar um usuário para acesso à API

1. Faça login no console do ArcSight.

2. Crie um grupo de usuários Google_SecOps_API e adicione um usuário Google_SecOps_API a ele. Esse usuário será usado pelo Google SecOps pela API ArcSight ESM.

   1. Acesse a guia Atributos e defina o atributo Tipo de usuário como Normal User.

   2. Na guia Recursos, clique com o botão direito do mouse no grupo de usuários criado.

   3. No menu, escolha Editar controle de acesso.

   4. Na janela Inspecionar/Editar do editor de ACL:

      1. Na guia Eventos, adicione o filtro criado anteriormente, Google_SecOps_Correlations_Filter. Também é possível adicionar qualquer filtro de origem para conceder acesso ao Google SecOps.

      2. Use as configurações padrão para as outras guias.

      3. Clique em Adicionar, selecione ArcSight System > Core e marque a caixa de seleção Todos os eventos.

         É importante verificar se a caixa de seleção Todos os eventos está marcada. O requisito mínimo é incluir todos os eventos de correlação que serão ingeridos no Google SecOps.

O Google Security Operations usa os seguintes métodos principais ao usar a API do ArcSight ESM:

• Serviço principal: Login, GetSession

• Serviço do gerente: GetSecurityEvents

Acesso à rede com o ArcSight ESM

Para acessar do Google SecOps ao ArcSight ESM, permita o tráfego pelas portas 443 (HTTPS) e 8443 (API por SSL) ou conforme configurado no seu ambiente.

Para acessar do ArcSight ESM ao Google SecOps, permita o tráfego pelas portas 445 e 139 (SMB/SAMBA/CIFS) ou conforme configurado no seu ambiente.

Parâmetros de integração

Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Use os seguintes parâmetros para configurar a integração:

Ações

Adicionar entradas à lista ativa

Descrição

Fornece um mecanismo para receber informações de tendências fora e além dos relatórios. As listas ativas atualizadas por tendências oferecem visualizações de resumo de informações de várias tendências.

Parâmetros

Data de execução

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Alterar etapa do caso

Descrição

Mudar a etapa de um caso. As fases válidas são INITIAL, QUEUED, CLOSED, FINAL e FOLLOW_UP.

Parâmetros

Data de execução

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Receber entradas da lista ativa

Descrição

Recupera entradas de lista ativa do ArcSight e retorna a saída CSV.

Parâmetros

Data de execução

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Resultado JSON

[
"12346e4d96f0a72c42015d69aaf0e8ab ,
 file.txt",
 "0e0776034e5e096704cd28cbd40cdbb5 ,
 Test.config"
]

Receber resultados da consulta

Descrição

Recebe os resultados da consulta pelo ID dela. Uma consulta pode ser usada como a fonte de dados principal de um relatório ou como uma tendência (baseada em uma consulta) que pode ser usada como fonte de dados para outra consulta que refina ainda mais o resultado inicial.

Parâmetros

Casos de uso

Adicione uma limitação de quantos resultados retornar.

Data de execução

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Resultado JSON

[
    {
        "Target User Name": "user",
        "Attacker Address": "192.0.2.1",
        "External ID": "127",
        "Name": "A Kerberos authentication ticket (TGT) was requested.",
        "Target Address": "192.0.2.1"
    },{
        "Target User Name": "user",
        "Attacker Address": "192.0.2.1",
        "External ID": "127",
        "Name": "A Kerberos authentication ticket (TGT) was requested.",
        "Target Address": "192.0.2.1"
    }
]

Acessar relatório

Descrição

Receber um relatório com campos dinâmicos. Um relatório é um recurso do ArcSight que vincula dados de uma consulta ou tendência a um modelo de relatório. Depois de executados, os resultados de um relatório podem ser visualizados no painel do visualizador de consoles do ArcSight, salvos (arquivados) ou exportados em vários formatos. Os relatórios podem ser programados para serem executados em intervalos regulares e sob demanda, conforme necessário.

Parâmetros

Data de execução

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Is Value in Activelist Column

Descrição

Verifica se um valor específico está na lista ativa .

Parâmetros

Data de execução

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Ping

Descrição

Teste a conectividade.

Parâmetros

Data de execução

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Pesquisar

Descrição

Você pode iniciar uma pesquisa na Central de comandos do ArcSight no canal de eventos do console. A pesquisa de conclusão de evento procura o atributo associado, que é armazenado em vários campos (por exemplo, abc). A pesquisa de eventos procura um valor (por exemplo, abc) armazenado no campo especificado (por exemplo, no campo de nome apenas).

Parâmetros

Casos de uso

Adicione uma limitação de quantos resultados retornar.

Data de execução

Essa ação é executada em todas as entidades.

Resultados da ação

Resultado do script

Resultado JSON

[
    {
        "score": 1.2440307,
        "uuid": "UUID",
        "uri": "/All_Fields/ArcSight_Foundation/Variables_Library/IPv6/Attacker_IPv6_Address",
        "name": "Attacker IPv6 Address"
    }, {
        "score": 1.2440307,
        "uuid": "UUID",
        "uri": "/All_Fields/ArcSight_Foundation/Variables_Library/IPv6/Attacker_IPv6_Address",
        "name": "Attacker IPv6 Address"
    }
]

Conectores

Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.

Conector do ArcSight ESM

Este guia se refere às versões 6.9.1 e mais recentes do ArcSight ESM.

Encaminhamento de regra ou caso do ESM para o Google SecOps

Como trabalhar com regras/correlações acionadas

Você precisará configurar o ArcSight ESM para encaminhar os objetos de correlação mais recentes ao Google SecOps enquanto configura o Google SecOps para funcionar no ArcSight ESM como um provedor de SIEM e também para fornecer acesso à API ao ArcSight ESM por um usuário autorizado.

Com esse recurso, o Google SecOps pode recuperar regras acionadas no ArcSight ESM quase em tempo real e encaminhá-las para serem traduzidas e contextualizadas como alertas para casos.

Fluxo de dados entre o Google SecOps e o ArcSight ESM

O Google SecOps indexa e contextualiza automaticamente as correlações encaminhadas para o Google SecOps e acionadas no ArcSight ESM pelo módulo ArcSight Forwarding Connector e acesso à API.

Priorização da gravidade do conector

O conector atribui a gravidade com os seguintes valores de priorização:

• 1 e 2: muito baixa
• 3 e 4: baixo
• 5 e 6: médio
• 7 e 8: alto
• 9 e 10: crítica

Entradas do conector

Use os seguintes parâmetros para configurar o conector:

Regras do conector

O conector é compatível com proxies.

ArcSight: conector de eventos de segurança

Extraia correlações do ArcSight. Esse conector é adequado para implantação de SaaS do Google SecOps e é o recomendado para uso em produção.

Esse conector exige a conclusão das etapas de pré-requisito.

Entradas do conector

Use os seguintes parâmetros para configurar o conector:

Regras do conector

O conector é compatível com proxies.

Jobs

Fechar casos

O trabalho requer os seguintes parâmetros:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.