Elastica CloudSOC
Versão de integração: 5.0
Vista geral
Configure a integração do Elastica CloudSOC no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Ações
Obtenha atividades do utilizador
Descrição
Obtenha atividades dos utilizadores do Symantec CloudSOC. O Symantec CloudSOC fornece estatísticas sobre a atividade do utilizador e uma vista geral da forma como as aplicações na nuvem são usadas.
Parâmetros
| Parâmetros | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Minutos atrás | String | N/A | Obter registos desde "x" minutos para trás. Exemplo: 5 |
Exemplos de utilização
N/A
Executar em
Esta ação é executada na entidade User.
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como suspeitas (verdadeiro) se excederem o limite. Caso contrário: falso.
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| navegador | Devolve se existir no resultado JSON |
| _domain | Devolve se existir no resultado JSON |
| gravidade | Devolve se existir no resultado JSON |
| latitude | Devolve se existir no resultado JSON |
| utilizador | Devolve se existir no resultado JSON |
| object_type | Devolve se existir no resultado JSON |
| localização | Devolve se existir no resultado JSON |
| longitude | Devolve se existir no resultado JSON |
| dispositivo | Devolve se existir no resultado JSON |
| anfitrião | Devolve se existir no resultado JSON |
| user_agent | Devolve se existir no resultado JSON |
| created_timestamp | Devolve se existir no resultado JSON |
| event_type | Devolve se existir no resultado JSON |
| mensagem | Devolve se existir no resultado JSON |
| user_name | Devolve se existir no resultado JSON |
| inserted_timestamp | Devolve se existir no resultado JSON |
| activity_type | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_succeed | Verdadeiro/Falso | is_succeed:False |
Resultado JSON
[{
"EntityResult":
{
"browser": "Chrome",
"_domain":"siemplify.co",
"severity": "error",
"service": "Elastica",
"latitude": 32.0678,
"user": "john_doe@example.com",
"object_type": "Session",
"location": "Tel Aviv (Israel)",
"longitude": 34.7647,
"device": "Windows",
"host": "1.1.1.1",
"user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36",
"created_timestamp": "2019-01-20T07:49:14",
"event_type": "PORTAL_LOGIN_FAILURE",
"message": "Failed login attempt by user 'john_doe@example.com'", "_id": "--Fi3z-1QHewAgPiTQlvXQ",
"user_name": "Meny Har",
"inserted_timestamp": "2019-01-20T07:49:14",
"activity_type": "Failure"
},
"Entity": "john_doe@example.com"
}]
Tchim-tchim
Descrição
Valida a conetividade ao servidor do Symantec CloudSOC.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_succeed | Verdadeiro/Falso | is_succeed:False |
Resultado JSON
N/A
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.