Elastica CloudSOC
Versão da integração: 5.0
Visão geral
Configurar a integração do Elastica CloudSOC no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Ações
Receber atividades do usuário
Descrição
Busca atividades de usuários do Symantec CloudSOC. O Symantec CloudSOC oferece insights sobre a atividade do usuário e uma visão geral de como os aplicativos de nuvem são usados.
Parâmetros
| Parâmetros | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Minutos atrás | String | N/A | Extrai registros de "x" minutos atrás. Exemplo: 5 |
Casos de uso
N/A
Executar em
Essa ação é executada na entidade "User".
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como "Suspeitas (verdadeiro)" se excederem o limite. Caso contrário, "False".
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| browser | Retorna se ele existe no resultado JSON |
| _domain | Retorna se ele existe no resultado JSON |
| gravidade, | Retorna se ele existe no resultado JSON |
| latitude | Retorna se ele existe no resultado JSON |
| usuário | Retorna se ele existe no resultado JSON |
| object_type | Retorna se ele existe no resultado JSON |
| local | Retorna se ele existe no resultado JSON |
| longitude | Retorna se ele existe no resultado JSON |
| device | Retorna se ele existe no resultado JSON |
| host | Retorna se ele existe no resultado JSON |
| user_agent | Retorna se ele existe no resultado JSON |
| created_timestamp | Retorna se ele existe no resultado JSON |
| event_type | Retorna se ele existe no resultado JSON |
| mensagem | Retorna se ele existe no resultado JSON |
| user_name | Retorna se ele existe no resultado JSON |
| inserted_timestamp | Retorna se ele existe no resultado JSON |
| activity_type | Retorna se ele existe no resultado JSON |
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_succeed | Verdadeiro/Falso | is_succeed:False |
Resultado do JSON
[{
"EntityResult":
{
"browser": "Chrome",
"_domain":"siemplify.co",
"severity": "error",
"service": "Elastica",
"latitude": 32.0678,
"user": "john_doe@example.com",
"object_type": "Session",
"location": "Tel Aviv (Israel)",
"longitude": 34.7647,
"device": "Windows",
"host": "1.1.1.1",
"user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36",
"created_timestamp": "2019-01-20T07:49:14",
"event_type": "PORTAL_LOGIN_FAILURE",
"message": "Failed login attempt by user 'john_doe@example.com'", "_id": "--Fi3z-1QHewAgPiTQlvXQ",
"user_name": "Meny Har",
"inserted_timestamp": "2019-01-20T07:49:14",
"activity_type": "Failure"
},
"Entity": "john_doe@example.com"
}]
Ping
Descrição
Verifica a conectividade com o servidor do Symantec CloudSOC.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_succeed | Verdadeiro/Falso | is_succeed:False |
Resultado do JSON
N/A
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.