此页面由 Cloud Translation API 翻译。

Elastica CloudSOC

集成版本：5.0

概览

在 Google Security Operations 中配置 Elastica CloudSOC 集成

有关如何在 Google SecOps 中配置集成的详细说明，请参阅配置集成。

操作

获取用户活动

说明

从 Symantec CloudSOC 获取用户活动。Symantec CloudSOC 可提供有关用户活动的分析洞见，并概览云应用的使用情况。

参数

参数	类型	默认值	说明
分钟前	字符串	不适用	提取自“x”分钟前开始的日志。示例：5

使用场景

不适用

运行于

此操作在 User 实体上运行。

操作执行结果

实体扩充

如果实体超过阈值，则标记为可疑 (True)。否则：False。

扩充项字段名称	逻辑 - 适用情形
browser	返回 JSON 结果中是否存在相应值
_domain	返回 JSON 结果中是否存在相应值
和程度上减少	返回 JSON 结果中是否存在相应值
纬度	返回 JSON 结果中是否存在相应值
用户	返回 JSON 结果中是否存在相应值
object_type	返回 JSON 结果中是否存在相应值
位置	返回 JSON 结果中是否存在相应值
longitiude	返回 JSON 结果中是否存在相应值
device	返回 JSON 结果中是否存在相应值
主机	返回 JSON 结果中是否存在相应值
user_agent	返回 JSON 结果中是否存在相应值
created_timestamp	返回 JSON 结果中是否存在相应值
event_type	返回 JSON 结果中是否存在相应值
消息	返回 JSON 结果中是否存在相应值
user_name	返回 JSON 结果中是否存在相应值
inserted_timestamp	返回 JSON 结果中是否存在相应值
activity_type	返回 JSON 结果中是否存在相应值

数据分析

不适用

脚本结果

脚本结果名称	值选项	示例
is_succeed	True/False	is_succeed:False

JSON 结果

[{
  "EntityResult":
    {
      "browser": "Chrome",
      "_domain":"siemplify.co",
      "severity": "error",
      "service": "Elastica",
      "latitude": 32.0678,
      "user": "john_doe@example.com",
      "object_type": "Session",
      "location": "Tel Aviv (Israel)",
      "longitude": 34.7647,
      "device": "Windows",
      "host": "1.1.1.1",
      "user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36",
      "created_timestamp": "2019-01-20T07:49:14",
      "event_type": "PORTAL_LOGIN_FAILURE",
      "message": "Failed login attempt by user 'john_doe@example.com'", "_id": "--Fi3z-1QHewAgPiTQlvXQ",
      "user_name": "Meny Har",
      "inserted_timestamp": "2019-01-20T07:49:14",
      "activity_type": "Failure"
    },
  "Entity": "john_doe@example.com"
}]

Ping

说明

验证与 Symantec CloudSOC 服务器的连接。

参数

不适用