ElasticsearchV7
Integrationsversion: 17.0
ElasticsearchV7 für die Verwendung mit Google Security Operations konfigurieren
API-Token erstellen
So erstellen Sie ein neues API-Token:
curl --location --request POST 'http://<server address>:<port>/_security/api_key' \
--header 'Authorization: Basic Base64(username, password)' \
--header 'Content-Type: application/json' \
--data-raw '{
"name": "siemplify-integration",
"role_descriptors": {}
}':
Beispiel für die Antwort:
{
"id": "G1NIWnI",
"name": "siemplify-integration",
"api_key": "dSwyjWJ_Ql"
}
- Wir übernehmen die Parameter „id“ und „api_key“ aus der Antwort.
- Verwenden Sie die Base64-Codierung von „id“ und „api_key“, die durch einen Doppelpunkt getrennt sind, z. B. „id:api_key“.
- Das Ergebnis wird als API-Token in der Integration verwendet.
Auf Elasticsearch zugreifen
Google SecOps greift standardmäßig über die RESTful API auf dem TCP-Port 9200 auf Elasticsearch zu. Der Google SecOps-Server benötigt Zugriff auf die relevanten Elasticsearch-Knoten über TCP 9200 (Standard) oder einen alternativen Port, wenn der Standardport bei der Elasticsearch-Bereitstellung nicht verwendet wurde.
ElasticsearchV7-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Elasticsearch-Integration mit einem CA-Zertifikat konfigurieren
Bei Bedarf können Sie Ihre Verbindung mit einer CA-Zertifikatsdatei bestätigen.
Bevor Sie beginnen, benötigen Sie Folgendes:
- Die CA-Zertifikatsdatei
- Die aktuelle Version der Elasticsearch-Integration
Führen Sie die folgenden Schritte aus, um die Integration mit einem CA-Zertifikat zu konfigurieren:
- Parsen Sie Ihre CA-Zertifikatsdatei in eine Base64-Zeichenfolge.
- Öffnen Sie die Seite mit den Konfigurationsparametern für die Integration.
- Fügen Sie den String in das Feld CA Certificate File (Datei mit CA-Zertifikat) ein.
- Wenn Sie prüfen möchten, ob die Integration erfolgreich konfiguriert wurde, klicken Sie das Kästchen SSL prüfen an und klicken Sie auf Testen.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| Serveradresse | String | x.x.x.x | Ja | Die IP-Adresse des Elasticsearch 7.0.0-Servers. |
| Nutzername | String | – | Ja | Die E-Mail-Adresse des Nutzers, die für die Verbindung zu Elasticsearch 7.0.0 verwendet werden soll. |
| Passwort | Passwort | – | Ja | Das Passwort des entsprechenden Nutzers. |
| API-Token | Passwort | – | Nein | Elasticsearch XPack API-Token. |
| Authentifizieren | Kästchen | Deaktiviert | Nein | – |
| SSL überprüfen | Kästchen | Deaktiviert | Nein | Aktivieren Sie dieses Kästchen, wenn für Ihre Elasticsearch 7.0.0-Verbindung eine SSL-Überprüfung erforderlich ist (standardmäßig deaktiviert). |
| CA-Zertifikatsdatei | String | – | Nein | CA-Zertifikatsdatei. |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
Erweiterte ES-Suche
Beschreibung
Ein vorgefertigter Elasticsearch-Test, der ein Wortverzeichnis zurückgibt.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Index | String | * | Suchmuster für einen Elasticsearch-Index. In Elastic entspricht „index“ einem „DatabaseName“. Daten werden in verschiedenen Indexen gespeichert. Mit diesem Parameter wird definiert, in welchen Indexen gesucht werden soll. Das kann ein genauer Name sein, z. B. „smp_playbooks-2019.06.13“, oder Sie können einen Platzhalter verwenden, um nach einem Muster zu suchen, z. B. „smp_playbooks-2019.06 “ oder „smp“. Weitere Informationen zu Elasticsearch-Indexen finden Sie unter https://www.elastic.co/blog/what-is-an-elasticsearch-index. |
| Abfrage | String | * | Die auszuführende Suchanfrage. Sie ist in Lucene-Syntax. IE1: „*“ (dies ist ein Platzhalter, der alle Datensätze zurückgibt) IE2: „level:error“ IE3: „level:information“ IE4: „level:error OR level:warning“ Weitere Informationen zur Lucene-Syntax finden Sie unter https://www.elastic.co/guide/en/kibana/current/lucene-query.html#lucene-query\r\nhttps://www.elastic.co/guide/en/elasticsearch/reference/7.1/query-dsl-query-string-query.html#query-string-syntax. |
| Limit | String | 100 | Beschränkt die Anzahl der zurückgegebenen Dokumente, z. B. auf 10. 0 = Kein Limit. |
| Anzeigefeld | String | * | Beschränkt die zurückgegebenen Felder. Standardmäßig „*“ = Alle Felder zurückgeben. Sie können ein einzelnes Feld angeben, z. B. „level“. |
| Suchfeld | String | _all | Suchfeld für Freitextabfragen (wenn in der Abfrage kein Feldname angegeben ist). Der Standardwert ist „_all“, d. h., es wird in allen Feldern gesucht. Verwenden Sie am besten die richtige Lucene-Syntax für „_all“-Felder oder die Textsuche für ein bestimmtes Feld. Beispiel 1: Suchfeld = „_all“. Abfrage = „level:error“: Die Abfrage gibt alle Datensätze zurück, in denen das Feld „level“ gleich „error“ ist. Beispiel 2: Suchfeld = „Nachricht“, Abfrage = „Anmeldebenachrichtigung“. Die Abfrage gibt alle Datensätze zurück, deren Feld „Message“ den Text „Login Alarm“ enthält. |
| Zeitstempelfeld | String | @timestamp | Der Name des Felds, für das die zeitbasierte Filterung ausgeführt werden soll. Der Standardwert ist „@timestamp“. Wenn sowohl „Frühestes Datum“ als auch „Ältestes Datum“ leer sind, findet keine zeitbasierte Filterung statt. |
| Ältestes Datum | String | now-1d | Startdatum der Suche. Bei der Suche werden nur Datensätze zurückgegeben, die gleich oder nach diesem Zeitpunkt liegen. Die Eingabe kann in genauer UTC erfolgen: Format: JJJJ-MM-TTTHH:MM:SSZ Beispiel: 2019-06-04T10:00:00Z Die Eingabe kann auch in relativer Form erfolgen (mit Datumsberechnungen): tie: „now“, „now-1d“, „now-1d/d“, „now-2h/h“ Weitere Informationen zu Datumsberechnungen finden Sie unter https://www.elastic.co/guide/en/elasticsearch/reference/7.1/common-options.html#date-math. |
| Frühestes Datum | String | jetzt | Enddatum der Suche. Bei der Suche werden nur Datensätze zurückgegeben, die diesem Zeitpunkt entsprechen oder vor diesem Zeitpunkt liegen. Die Eingabe kann in genauer UTC erfolgen: Format: JJJJ-MM-TTTHH:MM:SSZ Beispiel: 2019-06-04T10:00:00Z Die Eingabe kann auch in relativer Form erfolgen (mit Datumsberechnungen): Beispiele: „now“, „now-1d“, „now-1d/d“, „now-2h/h“ Weitere Informationen zu Datumsberechnungen finden Sie unter https://www.elastic.co/guide/en/elasticsearch/reference/7.1/common-options.html#date-math. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Ergebnisse | – | – |
DSL-Suche
Beschreibung
Durchsucht alles in Elasticsearch und gibt die Ergebnisse in einem Wörterbuchformat zurück. Diese Aktion unterstützt nur Abfragen ohne Zeitraum. Wenn Sie einen Zeitraum in Ihrer Abfrage verwenden möchten, verwenden Sie die Aktion „Erweiterte ES-Suche“.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Index | String | * | Suchmuster für einen Elasticsearch-Index. In Elasticsearch entspricht der Index einem Datenbanknamen und Daten werden in verschiedenen Indexen gespeichert. Mit diesem Parameter wird definiert, in welchen Indexen gesucht werden soll. Das kann ein genauer Name sein, z. B. „smp_playbooks-2019.06.13“, oder Sie können einen Platzhalter () verwenden, um nach einem Muster zu suchen, z. B. „smp_playbooks-2019.06“ oder „smp*“. Weitere Informationen zu Elasticsearch-Indexen finden Sie unter https://www.elastic.co/blog/what-is-an-elasticsearch-index. |
| Abfrage | String | * | Die auszuführende Suchanfrage. Sie ist in Lucene-Syntax. IE1: „*“ (dies ist ein Platzhalter, der alle Datensätze zurückgibt) IE2: \"level:error\" IE3: \"level:information\" IE4: \"level:error OR level:warning\" Weitere Informationen zur Lucene-Syntax finden Sie unter https://www.elastic.co/guide/en/kibana/current/lucene-query.html#lucene-query\r\nhttps://www.elastic.co/guide/en/elasticsearch/reference/7.1/query-dsl-query-string-query.html#query-string-syntax. |
| Limit | String | 100 | Beschränkt die Anzahl der zurückgegebenen Dokumente, z. B. auf 10. 0 = Kein Limit |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Ergebnisse | – | – |
JSON-Ergebnis
[
{
"_score": 0.2876821,
"_type": "person",
"_id": "2",
"_source": {
"lastname": "Smith",
"name": "John",
"job_description": "Systems administrator"
},
"_index": "accounts"
}, {
"_score": 0.28582606,
"_type": "person",
"_id": "1",
"_source":
{
"lastname": "Doe",
"name": "John",
"job_description": "Systems administrator and Linux specialist"
},
"_index": "accounts"
}
]
Ping
Beschreibung
Testet die Verbindung zum Elasticsearch-Server.
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Einfache ES-Suche
Beschreibung
Bei der Suche werden alle Daten in Elasticsearch durchsucht und die Ergebnisse werden in einem Dictionary-Format zurückgegeben.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Index | String | * | Suchmuster für einen Elasticsearch-Index. In Elasticsearch entspricht der Index einem Datenbanknamen und Daten werden in verschiedenen Indexen gespeichert. Mit diesem Parameter wird definiert, in welchen Indexen gesucht werden soll. Das kann ein genauer Name sein, z. B. „smp_playbooks-2019.06.13“, oder Sie können einen Platzhalter () verwenden, um nach einem Muster zu suchen, z. B. „smp_playbooks-2019.06“ oder „smp*“. Weitere Informationen zu Elasticsearch-Indexen finden Sie unter https://www.elastic.co/blog/what-is-an-elasticsearch-index. |
| Abfrage | String | * | Die auszuführende Suchanfrage. Sie ist in Lucene-Syntax. IE1: „*“ (dies ist ein Platzhalter, der alle Datensätze zurückgibt) IE2: \"level:error\" IE3: \"level:information\" IE4: \"level:error OR level:warning\" Weitere Informationen zur Lucene-Syntax finden Sie unter https://www.elastic.co/guide/en/kibana/current/lucene-query.html#lucene-query\r\nhttps://www.elastic.co/guide/en/elasticsearch/reference/7.1/query-dsl-query-string-query.html#query-string-syntax. |
| Limit | String | 100 | Beschränkt die Anzahl der zurückgegebenen Dokumente, z. B. auf 10. 0 = Kein Limit. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Ergebnisse | – | – |
JSON-Ergebnis
[{
"_score": 0.2876821,
"_type": "person",
"_id": "2",
"_source":
{
"lastname": "Smith",
"name": "John",
"job_description": "Systems administrator"
},
"_index": "accounts"
},
{
"_score": 0.28582606,
"_type": "person",
"_id": "1",
"_source":
{
"lastname": "Doe",
"name": "John",
"job_description": "Systems administrator and Linux specialist"
},
"_index": "accounts"
}
]
Connectors
Elasticsearch v7-Connectors in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Verwenden Sie die in den folgenden Tabellen aufgeführten connectorspezifischen Parameter, um den ausgewählten Connector zu konfigurieren:
- Konfigurationsparameter für Elasticsearch Connector
- Konfigurationsparameter für den Elasticsearch DSL-Connector
Elasticsearch-Connector
Beschreibung
In diesem Thema wird beschrieben, wie Google SecOps Elasticsearch in den Mechanismus und die Konfiguration für die Aufnahme und Verarbeitung integriert.
Weiterleitung von Elasticsearch-Benachrichtigungen an Google SecOps
Google SecOps durchsucht die angegebenen Elasticsearch-Indizes mit einer bereitgestellten Abfrage (mit Lucene-Abfragesyntax) und gibt Elasticsearch-Dokumente zurück, die als „Benachrichtigungen“ für Fälle übersetzt und kontextualisiert werden.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Standardumgebung | String | – | Nein | Wählen Sie die gewünschte Umgebung aus. Beispiel: „Kunde 1“. |
| Ausführung alle | Ganzzahl | 0:0:0:10 | Nein | Wählen Sie aus, wie lange die Verbindung aktiv sein soll. Beispiel: „jeden Tag“. |
| Produktfeldname | String | device_product | Ja | Der Feldname, der zur Bestimmung des Geräteprodukts verwendet wird. Beispiel: _type. |
| Name des Ereignisfelds | String | Name | Ja | Der Feldname, der zum Bestimmen des Ereignisnamens (Untertyp) verwendet wird. Beispiel: _source_match_event_id. |
| Zeitlimit für Script (Sekunden) | String | 60 | Ja | Das Zeitlimit (in Sekunden) für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| Serveradresse | String | – | Ja | Die Elasticsearch-Serveradresse, z.B. http://{ip_address}:{port} |
| Nutzername | String | – | Ja | Elasticsearch-Nutzername. |
| Passwort | Passwort | – | Ja | Elasticsearch-Passwort. |
| Authentifizieren | Kästchen | Deaktiviert | Nein | Gibt an, ob die Authentifizierung bei der Verbindung erfolgen soll. |
| API-Token | Passwort | – | Nein | Elasticsearch XPack API-Token. |
| SSL überprüfen | Kästchen | Deaktiviert | Nein | Gibt an, ob SSL für die Verbindung verwendet werden soll. |
| Feld „Name der Benachrichtigung“ | String | – | Ja | Der Name des Felds, in dem sich der Name der Benachrichtigung befindet (flacher Feldpfad). Beispiel: _source_alert_info_alert |
| Zeitstempelfeld | String | – | Ja | Der Name des Felds, in dem sich der Zeitstempel befindet (flacher Feldpfad). Beispiel: source@timestamp |
| Umgebungsfeld | String | – | Nein | Der Name des Felds, in dem sich die Umgebung befindet (flacher Feldpfad). Beispiel: _source_environment |
| Indexe | String | – | Nein | Indexmuster für die Suche. Beispiel: „*“ |
| Abfrage | String | – | Nein | Suchmusterabfrage (Lucene-Abfragesyntax). Beispiel: „*“ |
| Limit für die Anzahl der Benachrichtigungen | Ganzzahl | 20 | Ja | Maximale Anzahl der Benachrichtigungen, die in einem Zyklus abgerufen werden sollen. Beispiel: 20. |
| Max. Tage rückwärts | Ganzzahl | 1 | Ja | Maximale Anzahl von Tagen, seit denen Benachrichtigungen abgerufen werden sollen. Beispiel 3: |
| Feldzuordnung für Schweregrad | String | – | Nein | Name des Felds, in dem der Schweregradwert gespeichert ist. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
| Feldname für Schweregrad | String | – | Nein | Wenn Sie den Schweregrad anhand des Stringwerts zuordnen möchten, müssen Sie eine Zuordnungsdatei erstellen. Weitere Informationen finden Sie im Dokumentationsportal. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und den Wert unverändert zurückzugeben. Ermöglicht es dem Nutzer, das Feld „Umgebung“ über Regex-Logik zu bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis „“. |
Schweregrad im Connector zuordnen
Um die Schwere zuordnen zu können, müssen Sie im Parameter „Name des Felds für Schweregrad“ angeben, welches Feld verwendet werden soll, um den Wert für den Schweregrad abzurufen. In der Antwort können Sie drei Arten von Werten erhalten: Ganzzahlen, Gleitkommazahlen und Strings. Für Ganzzahlen und Gleitkommazahlen ist keine zusätzliche Konfiguration erforderlich. Der Connector liest diese Werte und ordnet sie gemäß den Google SecOps-Standards zu. Zur Erinnerung: So werden Ganzzahlwerte zugeordnet:
- 100 – Kritisch
- 100 > x >= 80: Hoch
- 80 > x >=60 Mittel
- 60 > x >=40 Niedrig
- 40 > x Informationell
Wenn in der Antwort mit Strings gearbeitet wird, ist eine zusätzliche Konfiguration erforderlich. Im Ordner, in dem sich die Connector-Skripts befinden, gibt es eine Konfigurationsdatei mit dem Namen severity_map_config.json. In dieser Datei werden Zuordnungsregeln für den Schweregrad definiert.
Anfangs sieht die Datei so aus:
{
"Default": 50
}
Stellen Sie sich eine Situation vor, in der sich die benötigten Werte in der event.severity befinden. event.severity kann die folgenden Werte enthalten: „Schadsoftware“, „Gutartig“, „Unbekannt“.
Zuerst müssen wir im Parameter „Severity Field Name“ (Name des Felds für den Schweregrad) angeben, dass wir event.severity verwenden.
Als Nächstes müssen wir die Konfigurationsdatei aktualisieren.
Nach den Änderungen sollte die Datei severity_map_config.json so aussehen:
{
"event.severity": {
"Malicious": 100,
"Unknown": 60,
"Benign": -1
},
"Default": 50
}
Wenn der Connector nun ein Ereignis mit event.severity = „Malicious“ empfängt, wird ihm der Schweregrad „Kritisch“ zugewiesen.
Connector-Regeln
Zulassungs-/Sperrliste
Der Connector unterstützt keine Zulassungs-/Sperrlisten.
Proxyunterstützung.
Der Connector unterstützt Proxys.
Elasticsearch DSL Connector
Beschreibung
Der Connector führt einen REST API-Aufruf mit einer DSL-Abfrage aus.
Anwendungsfälle und Beispiele
DSL-Abfragen können als Suchparameter in Elasticsearch verwendet werden.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Standardumgebung | String | – | Nein | Wählen Sie die gewünschte Umgebung aus. Beispiel: „Kunde 1“. |
| Ausführung alle | Ganzzahl | 0:0:0:10 | Nein | Wählen Sie aus, wie lange die Verbindung aktiv sein soll. Beispiel: „jeden Tag“. |
| Produktfeldname | String | device_product | Ja | Beschreibt den Namen des Felds, in dem der Produktname gespeichert ist. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung „“. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und den Wert unverändert zurückzugeben. Ermöglicht es dem Nutzer, das Feld „Umgebung“ über Regex-Logik zu bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis „“. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 60 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| Serveradresse | String | – | Ja | IP-Adresse des Elasticsearch API-Servers. |
| Port | String | – | Ja | Port des Elasticsearch-API-Servers. |
| Abfrage | String | – | Ja | Die für die Suche verwendete DSL-Abfrage. Gültiges JSON-Format erforderlich. Um den Connector stabiler zu machen, empfiehlt es sich, einen Zeitstempelschlüssel für die Sortierung in aufsteigender Reihenfolge hinzuzufügen. |
| Index | String | – | Ja | Der Index, der für eine Suche verwendet wird. Beispiel: _all |
| Zeitstempelfeld | String | – | Ja | Der Name des Felds, in dem sich der Zeitstempel befindet. source@timestamp |
| Name des Benachrichtigungsfelds | String | – | Ja | Der Name des Felds, in dem sich der Name der Benachrichtigung befindet. _source_info_alertname |
| Beschreibungsfeld | String | – | Nein | Der Name des Felds, in dem sich die Beschreibung befindet. _source_alert_info_description |
| Schweregrad | String | Mittel | Ja | Schweregrad der Benachrichtigungen. Info Niedrig Mittel Hoch Kritisch |
| Limit für die Anzahl der Benachrichtigungen | Ganzzahl | 100 | Nein | Beschränken Sie die Anzahl der Warnungen, die vom Connector pro Iteration zurückgegeben werden. |
| Authentifizieren | Kästchen | Deaktiviert | Nein | Gibt an, ob eine Verbindung authentifiziert werden soll. |
| Nutzername | String | – | Nein | Nutzername für das Elasticsearch-Konto. |
| Passwort | Passwort | – | Nein | Passwort für das Elasticsearch-Konto. |
| Use SSL (SSL verwenden) | Kästchen | Deaktiviert | Nein | Option zum Aktivieren einer SSL/TLS-Verbindung. |
| Feldname für Schweregrad | String | – | Nein | Wenn Sie den Schweregrad anhand des Stringwerts zuordnen möchten, müssen Sie eine Zuordnungsdatei erstellen. Weitere Informationen finden Sie im Dokumentationsportal. |
| Schweregrad der Benachrichtigung | String | – | Nein | Der Schweregrad der Benachrichtigungen. Mögliche Werte: Info, Low, Medium, High, Critical. Hinweis:Dieser Parameter hat Vorrang vor „Name des Felds für den Schweregrad“. Wenn Sie mit „Severity Field Name“ (Feldname für Schweregrad) arbeiten möchten, sollte dieses Feld leer bleiben. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Unterstützte Notationen
Der Connector unterstützt drei Notationen. Beispiel: Sie möchten „event.type“ im Parameter „Name des Ereignisfelds“ verwenden. In diesem Fall können Sie entweder „_source_event_type“, „event_type“ oder „event.type“ angeben. Alle diese Werte verhalten sich gleich.
Für Parameter:
- Produktfeldname
- Name des Ereignisfelds
- Feldname für Schweregrad
- Umgebungsfeld
- Zeitstempelfeld
- Feld „Name der Benachrichtigung“
- Feld „Benachrichtigungsbeschreibung“ – dieses Feld ist nur für DSL-Connectors vorgesehen
Schweregrad im Connector zuordnen
Um die Schwere zuordnen zu können, müssen Sie im Parameter „Name des Felds für Schweregrad“ angeben, welches Feld verwendet werden soll, um den Wert für den Schweregrad abzurufen. In der Antwort können Sie drei Arten von Werten erhalten: Ganzzahlen, Gleitkommazahlen und Strings. Für Ganzzahlen und Gleitkommazahlen ist keine zusätzliche Konfiguration erforderlich. Der Connector liest diese Werte und ordnet sie gemäß den Google SecOps-Standards zu. Zur Erinnerung: So werden Ganzzahlwerte zugeordnet:
- 100 – Kritisch
- 100 > x >= 80: Hoch
- 80 > x >=60 Mittel
- 60 > x >=40 Niedrig
- 40 > x Informationell
Wenn in der Antwort mit Strings gearbeitet wird, ist eine zusätzliche Konfiguration erforderlich. Im Ordner, in dem sich die Connector-Skripts befinden, gibt es eine Konfigurationsdatei mit dem Namen severity_map_config.json. In dieser Datei werden Zuordnungsregeln für den Schweregrad definiert.
Anfangs sieht die Datei so aus:
{
"Default": 50
}
Stellen Sie sich eine Situation vor, in der sich die benötigten Werte in der event.severity befinden. event.severity kann die folgenden Werte enthalten: „Schadsoftware“, „Gutartig“, „Unbekannt“.
Zuerst müssen wir im Parameter „Severity Field Name“ (Name des Felds für den Schweregrad) angeben, dass wir event.severity verwenden.
Als Nächstes müssen wir die Konfigurationsdatei aktualisieren.
Nach den Änderungen sollte die Datei severity_map_config.json so aussehen:
{
"event.severity": {
"Malicious": 100,
"Unknown": 60,
"Benign": -1
},
"Default": 50
}
Wenn der Connector nun ein Ereignis mit event.severity = „Malicious“ empfängt, wird ihm der Schweregrad „Kritisch“ zugewiesen.
Connector-Regeln
Zulassungs-/Sperrliste
Der Connector unterstützt keine Zulassungs-/Sperrlisten.
Proxyunterstützung.
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten