Elastica CloudSOC
In diesem Dokument wird beschrieben, wie Sie Elastica CloudSOC in Google Security Operations einbinden.
Übersicht
Elastica CloudSOC-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Aktionen
Nutzeraktivitäten abrufen
Beschreibung
Nutzeraktivitäten aus Symantec CloudSOC abrufen Symantec CloudSOC bietet Einblicke in Nutzeraktivitäten und einen Überblick über die Verwendung von Cloud-Anwendungen.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Minuten zurück | String | – | Ruft Logs ab, die bis zu „x“ Minuten zurückliegen. Beispiel: 5 |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die Nutzerentität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
Entitäten werden als „Verdächtig“ (Wahr) markiert, wenn sie den Grenzwert überschreiten. Andernfalls: Falsch.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| browser | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| _domain | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| die Ausprägung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| latitude | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Nutzer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| object_type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Standort | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Längengrad | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Gerät | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Host | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| user_agent | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| created_timestamp | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| event_type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| Nachricht | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| user_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| inserted_timestamp | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
| activity_type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist. |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_succeed | Wahr/falsch | is_succeed:False |
JSON-Ergebnis
[{
"EntityResult":
{
"browser": "Chrome",
"_domain":"siemplify.co",
"severity": "error",
"service": "Elastica",
"latitude": 32.0678,
"user": "john_doe@example.com",
"object_type": "Session",
"location": "Tel Aviv (Israel)",
"longitude": 34.7647,
"device": "Windows",
"host": "1.1.1.1",
"user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36",
"created_timestamp": "2019-01-20T07:49:14",
"event_type": "PORTAL_LOGIN_FAILURE",
"message": "Failed login attempt by user 'john_doe@example.com'", "_id": "--Fi3z-1QHewAgPiTQlvXQ",
"user_name": "Meny Har",
"inserted_timestamp": "2019-01-20T07:49:14",
"activity_type": "Failure"
},
"Entity": "john_doe@example.com"
}]
Ping
Beschreibung
Überprüft die Verbindung zum Symantec CloudSOC-Server.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_succeed | Wahr/falsch | is_succeed:False |
JSON-Ergebnis
N/A
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten