ElasticsearchV7

Version de l'intégration : 17.0

Configurer ElasticsearchV7 pour qu'il fonctionne avec Google Security Operations

Créer un jeton d'API

Pour créer un jeton d'API, effectuez la requête suivante :

curl --location --request POST 'http://<server address>:<port>/_security/api_key' \
--header 'Authorization: Basic Base64(username, password)' \
--header 'Content-Type: application/json' \
--data-raw '{
    "name": "siemplify-integration",
    "role_descriptors": {}
}':

Exemple de réponse :

{
  "id": "G1NIWnI",
  "name": "siemplify-integration",
  "api_key": "dSwyjWJ_Ql"
}
  1. Nous récupérons les paramètres "id" et "api_key" de la réponse.
  2. Utilisez l'encodage base64 de "id" et "api_key" séparés par un deux-points, comme "id:api_key".
  3. Le résultat est utilisé comme jeton d'API dans l'intégration.

Accéder à Elasticsearch

Google SecOps accède à Elasticsearch via l'API RESTful sur le port TCP 9200 par défaut. Le serveur Google SecOps devra avoir accès aux nœuds Elasticsearch concernés sur le port TCP 9200 (par défaut) ou sur un autre port si le port par défaut n'a pas été utilisé lors du déploiement d'Elasticsearch.

Configurer l'intégration ElasticsearchV7 dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Configurer l'intégration d'Elasticsearch avec un certificat CA

Si nécessaire, vous pouvez valider votre connexion avec un fichier de certificat CA.

Avant de commencer, assurez-vous de disposer des éléments suivants :

  • Fichier de certificat CA
  • Dernière version de l'intégration Elasticsearch

Pour configurer l'intégration avec un certificat d'autorité de certification, procédez comme suit :

  1. Analysez votre fichier de certificat CA en une chaîne Base64.
  2. Ouvrez la page des paramètres de configuration de l'intégration.
  3. Insérez la chaîne dans le champ Fichier de certificat de l'autorité de certification.
  4. Pour vérifier que l'intégration est correctement configurée, cochez la case Vérifier le protocole SSL, puis cliquez sur Tester.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Nom de l'instance Chaîne N/A Non Nom de l'instance pour laquelle vous souhaitez configurer l'intégration.
Description Chaîne N/A Non Description de l'instance.
Adresse du serveur Chaîne x.x.x.x Oui Adresse IP du serveur Elasticsearch 7.0.0.
Nom d'utilisateur Chaîne N/A Oui Adresse e-mail de l'utilisateur à utiliser pour se connecter à Elasticsearch 7.0.0.
Mot de passe Mot de passe N/A Oui Mot de passe de l'utilisateur correspondant.
Jeton d'API Mot de passe N/A Non Jeton d'API Elasticsearch XPack.
Authentifier Case à cocher Décochée Non N/A
Vérifier le protocole SSL Case à cocher Décochée Non Cochez cette case si votre connexion Elasticsearch 7.0.0 nécessite une validation SSL (elle est décochée par défaut).
Fichier de certificat CA Chaîne N/A Non Fichier de certificat CA.
Exécuter à distance Case à cocher Décochée Non Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche.

Actions

Description

Test Elasticsearch prédéfini qui renvoie un dictionnaire de mots.

Paramètres

Paramètres Type Valeur par défaut Description
Index Chaîne *

Modèle de recherche pour un index Elasticsearch.

Dans Elastic, un index est semblable à un nom de base de données. Les données sont stockées dans différents index. Ce paramètre définit dans quel index ou quels index effectuer la recherche. Il peut s'agir d'un nom exact (par exemple, "smp_playbooks-2019.06.13") ou vous pouvez utiliser un caractère générique pour effectuer une recherche par modèle (par exemple, "smp_playbooks-2019.06 " ou "smp").

Pour en savoir plus sur les index Elasticsearch, consultez https://www.elastic.co/blog/what-is-an-elasticsearch-index.
Requête Chaîne *

Requête de recherche à effectuer. Elle est exprimée dans la syntaxe Lucene.

IE1 : "*" (caractère générique qui renvoie tous les enregistrements)

IE2 : "level:error"

IE3 : "level:information"

IE4 : "level:error OR level:warning"

Pour en savoir plus sur la syntaxe Lucene, consultez https://www.elastic.co/guide/en/kibana/current/lucene-query.html#lucene-query\r\nhttps://www.elastic.co/guide/en/elasticsearch/reference/7.1/query-dsl-query-string-query.html#query-string-syntax.
Limite Chaîne 100

Limite le nombre de documents renvoyés (par exemple, 10).

0 = Aucune limite.
Champ à afficher Chaîne *

Limite les champs renvoyés. La valeur par défaut "*" signifie que tous les champs sont renvoyés.

Vous pouvez indiquer un seul champ, par exemple "niveau".
Champ de recherche Chaîne _all

Champ de recherche pour les requêtes en texte libre (lorsque la requête ne spécifie pas de nom de champ).

La valeur par défaut est "_all", ce qui signifie que tous les champs sont inclus dans la recherche. Il est préférable d'utiliser la syntaxe Lucene appropriée dans les champs "_all" ou la recherche textuelle dans un champ spécifique.

Ie1 : le champ de recherche est défini sur "_all". La requête "level:error" renvoie tous les enregistrements où le champ "level" est égal à "error".

Ie2 : champ de recherche = "Message", requête = "Alarme de connexion". La requête renvoie tous les enregistrements dont le champ "Message" contient le texte "Login Alarm" (Alarme de connexion).
Champ de code temporel Chaîne @timestamp Nom du champ sur lequel exécuter le filtrage basé sur le temps. La valeur par défaut est "@timestamp". Si les champs "Date la plus ancienne" et "Date la plus récente" sont vides, aucun filtrage temporel ne sera appliqué.
Date la plus ancienne Chaîne now-1d

Date de début de la recherche. La recherche ne renverra que les enregistrements égaux ou postérieurs à ce moment.

L'entrée peut être exprimée en temps UTC exact :

Format : AAAA-MM-JJTHH:MM:SSZ

Par exemple : 2019-06-04T10:00:00Z

L'entrée peut également être sous forme relative (à l'aide de date-math) : tie: "now", "now-1d", "now-1d/d", "now-2h/h"

Pour en savoir plus sur les expressions mathématiques de date, consultez https://www.elastic.co/guide/en/elasticsearch/reference/7.1/common-options.html#date-math.
Date (au plus tôt) Chaîne maintenant

Date de fin de la recherche. La recherche ne renverra que les enregistrements égaux ou antérieurs à ce moment.

L'entrée peut être exprimée en temps UTC exact :

Format : AAAA-MM-JJTHH:MM:SSZ

Par exemple : 2019-06-04T10:00:00Z

Les entrées peuvent également être au format relatif (à l'aide de date-math) :

Exemples : "now", "now-1d", "now-1d/d", "now-2h/h"

Pour en savoir plus sur les expressions mathématiques de date, consultez https://www.elastic.co/guide/en/elasticsearch/reference/7.1/common-options.html#date-math.

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
résultats N/A N/A

Description

Effectue des recherches dans tout le contenu d'Elasticsearch et renvoie les résultats au format dictionnaire. Cette action n'est compatible qu'avec les requêtes sans période. Si vous souhaitez utiliser une période dans votre requête, utilisez l'action "Recherche ES avancée".

Paramètres

Paramètres Type Valeur par défaut Description
Index Chaîne *

Modèle de recherche pour un index Elasticsearch.

Dans Elasticsearch, un index est semblable à un nom de base de données. Les données sont stockées dans différents index.

Ce paramètre définit dans quel ou quels index effectuer la recherche. Il peut s'agir d'un nom exact (par exemple, "smp_playbooks-2019.06.13") ou vous pouvez utiliser un caractère générique () pour effectuer une recherche par modèle (par exemple, "smp_playbooks-2019.06" ou "smp*").

Pour en savoir plus sur les index Elasticsearch, consultez https://www.elastic.co/blog/what-is-an-elasticsearch-index.
Requête Chaîne *

Requête de recherche à effectuer. Elle est exprimée dans la syntaxe Lucene.

IE1 : "*" (caractère générique qui renvoie tous les enregistrements)

IE2 : \"level:error\"

IE3 : \"level:information\"

IE4 : \"level:error OR level:warning\"

Pour en savoir plus sur la syntaxe Lucene, consultez https://www.elastic.co/guide/en/kibana/current/lucene-query.html#lucene-query\r\nhttps://www.elastic.co/guide/en/elasticsearch/reference/7.1/query-dsl-query-string-query.html#query-string-syntax.
Limite Chaîne 100

Limite le nombre de documents renvoyés (par exemple, 10).

0 = Aucune limite

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
résultats N/A N/A
Résultat JSON
[
    {
        "_score": 0.2876821,
        "_type": "person",
        "_id": "2",
        "_source": {
            "lastname": "Smith",
            "name": "John",
            "job_description": "Systems administrator"
        },
        "_index": "accounts"
    }, {
        "_score": 0.28582606,
        "_type": "person",
        "_id": "1",
        "_source":
        {
            "lastname": "Doe",
            "name": "John",
            "job_description": "Systems administrator and Linux specialist"
        },
        "_index": "accounts"
    }
]

Ping

Description

Ce test vérifie la connectivité au serveur Elasticsearch.

Paramètres

N/A

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False

Description

Les recherches d'actions parcourent tout le contenu d'Elasticsearch et renvoient les résultats au format dictionnaire.

Paramètres

Paramètres Type Valeur par défaut Description
Index Chaîne *

Modèle de recherche pour un index Elasticsearch.

Dans Elasticsearch, un index est semblable à un nom de base de données. Les données sont stockées dans différents index.

Ce paramètre définit dans quel ou quels index effectuer la recherche. Il peut s'agir d'un nom exact (par exemple, "smp_playbooks-2019.06.13") ou vous pouvez utiliser un caractère générique () pour effectuer une recherche par modèle (par exemple, "smp_playbooks-2019.06" ou "smp*").

Pour en savoir plus sur les index Elasticsearch, consultez https://www.elastic.co/blog/what-is-an-elasticsearch-index.
Requête Chaîne *

Requête de recherche à effectuer. Elle est exprimée dans la syntaxe Lucene.

IE1 : "*" (caractère générique qui renvoie tous les enregistrements)

IE2 : \"level:error\"

IE3 : \"level:information\"

IE4 : \"level:error OR level:warning\"

Pour en savoir plus sur la syntaxe Lucene, consultez https://www.elastic.co/guide/en/kibana/current/lucene-query.html#lucene-query\r\nhttps://www.elastic.co/guide/en/elasticsearch/reference/7.1/query-dsl-query-string-query.html#query-string-syntax.
Limite Chaîne 100

Limite le nombre de documents renvoyés (par exemple, 10).

0 = Aucune limite.

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Résultat du script
Nom du résultat du script Options de valeur Exemple
résultats N/A N/A
Résultat JSON
[{
    "_score": 0.2876821,
    "_type": "person",
    "_id": "2",
    "_source":
        {
          "lastname": "Smith",
          "name": "John",
          "job_description": "Systems administrator"
         },
     "_index": "accounts"
 },
 {
     "_score": 0.28582606,
     "_type": "person",
     "_id": "1",
     "_source":
       {
         "lastname": "Doe",
         "name": "John",
         "job_description": "Systems administrator and Linux specialist"
       },
    "_index": "accounts"
  }
 ]

Connecteurs

Configurer les connecteurs Elasticsearch v7 dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.

Pour configurer le connecteur sélectionné, utilisez les paramètres spécifiques au connecteur listés dans les tableaux suivants :

Connecteur Elasticsearch

Description

Cette rubrique explique comment Google SecOps intègre Elasticsearch au mécanisme et à la configuration pour l'ingestion et le traitement.

Transfert des alertes Elasticsearch vers Google SecOps

Google SecOps recherche les index Elasticsearch spécifiés à l'aide d'une requête fournie (utilisant la syntaxe de requête Lucene) et renvoie les documents Elasticsearch qui seront traduits et contextualisés en tant qu'alertes pour les demandes.

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Environnement par défaut Chaîne N/A Non Sélectionnez l'environnement requis. Par exemple, "Client 1".
Exécuter chaque Integer 0:0:0:10 Non Sélectionnez la durée d'exécution de la connexion. Par exemple, "tous les jours".
Nom du champ de produit Chaîne device_product Oui Nom du champ utilisé pour déterminer le produit de l'appareil. Exemple : _type.
Nom du champ d'événement Chaîne nom Oui Nom du champ utilisé pour déterminer le nom (sous-type) de l'événement. Exemple : _source_match_event_id.
Délai avant expiration du script (en secondes) Chaîne 60 Oui Délai limite (en secondes) pour le processus Python exécutant le script actuel.
Adresse du serveur Chaîne N/A Oui Adresse du serveur Elasticsearch, par exemple : http://{ip_address}:{port}
Nom d'utilisateur Chaîne N/A Oui Nom d'utilisateur Elasticsearch.
Mot de passe Mot de passe N/A Oui Mot de passe Elasticsearch.
Authentifier Case à cocher Décochée Non Indique si l'authentification doit être effectuée lors de la connexion.
Jeton d'API Mot de passe N/A Non Jeton d'API Elasticsearch XPack.
Vérifier le protocole SSL Case à cocher Décochée Non Indique si le protocole SSL doit être utilisé pour la connexion.
Champ "Nom de l'alerte" Chaîne N/A Oui Nom du champ dans lequel se trouve le nom de l'alerte (chemin d'accès au champ plat). Exemple : _source_alert_info_alert
Champ de code temporel Chaîne N/A Oui Nom du champ dans lequel se trouve le code temporel (chemin d'accès au champ plat). Exemple : source@timestamp
Champ "Environnement" Chaîne N/A Non Nom du champ dans lequel se trouve l'environnement (chemin d'accès au champ plat). Exemple : _source_environment
Index Chaîne N/A Non Modèle d'index à utiliser pour la recherche. Exemple : "*"
Requête Chaîne N/A Non Requête de modèle de recherche (syntaxe de requête Lucene). Exemple : "*"
Limite du nombre d'alertes Integer 20 Oui Nombre maximal d'alertes à extraire en un cycle. Exemple : 20.
Nombre maximal de jours en arrière Integer 1 Oui Nombre maximal de jours depuis lesquels récupérer les alertes. Exemple : 3.
Mappage des champs de gravité Chaîne N/A Non Nom du champ dans lequel la valeur de gravité est stockée.
Adresse du serveur proxy Chaîne N/A Non Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy Chaîne N/A Non Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy Mot de passe N/A Non Mot de passe du proxy pour l'authentification.
Nom du champ de gravité Chaîne N/A Non Si vous souhaitez mapper la gravité en fonction de la valeur de la chaîne, vous devez créer un fichier de mappage. Pour en savoir plus, veuillez consulter le portail de documentation.
Modèle d'expression régulière de l'environnement Chaîne .* Non

Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement".

La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée.

Permet à l'utilisateur de manipuler le champ "environment" (environnement) à l'aide de la logique des expressions régulières

Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est "".

Mapper la gravité dans le connecteur

Pour mapper la gravité, vous devez spécifier le champ à utiliser pour obtenir la valeur de la gravité dans le paramètre "Nom du champ de gravité". La réponse peut contenir trois types de valeurs : des entiers, des nombres à virgule flottante et des chaînes. Pour les nombres entiers et à virgule flottante, aucune configuration supplémentaire n'est requise. Le connecteur lira ces valeurs et les mappera conformément aux normes Google SecOps. Pour rappel, voici comment les valeurs entières sont mises en correspondance :

  • 100 – Critique
  • 100 > x >= 80 : élevé
  • 80 > x >=60 : moyenne
  • 60 > x >=40 : faible
  • 40 > x Informational

Si la réponse contient des chaînes, une configuration supplémentaire est requise. Dans le dossier où se trouvent les scripts du connecteur, vous trouverez un fichier de configuration nommé severity_map_config.json. Ce fichier définit les règles de mappage pour la gravité.

Au départ, le fichier se présente comme suit :

{
    "Default": 50
}

Imaginez une situation où les valeurs requises se trouvent dans event.severity. event.severity peut contenir les valeurs suivantes : "Malicious" (Malveillant), "Benign" (Bénin) ou "Unknown" (Inconnu).

Tout d'abord, nous devons spécifier dans le paramètre "Nom du champ de gravité" que nous allons utiliser event.severity.

Ensuite, nous devons mettre à jour le fichier de configuration.

Une fois les modifications effectuées, le fichier severity_map_config.json devrait se présenter comme suit :

{
    "event.severity": {
        "Malicious": 100,
        "Unknown": 60,
        "Benign": -1
    },
    "Default": 50
}

Désormais, lorsque le connecteur recevra un événement avec event.severity = "Malicious", il lui attribuera le niveau de gravité "Critique".

Règles du connecteur

Liste blanche/Liste noire

Le connecteur n'est pas compatible avec les listes blanche/noire.

Assistance de proxy

Le connecteur est compatible avec le proxy.

Connecteur Elasticsearch DSL

Description

Le connecteur fonctionne en effectuant un appel d'API REST avec une requête DSL.

Cas d'utilisation et exemples

Possibilité d'utiliser des requêtes DSL comme paramètre de recherche dans Elasticsearch.

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Environnement par défaut Chaîne N/A Non Sélectionnez l'environnement requis. Par exemple, "Client 1".
Exécuter chaque Integer 0:0:0:10 Non Sélectionnez la durée d'exécution de la connexion. Par exemple, "tous les jours".
Nom du champ de produit Chaîne device_product Oui Décrit le nom du champ dans lequel le nom du produit est stocké.
Nom du champ "Environnement" Chaîne "" Non

Décrit le nom du champ dans lequel le nom de l'environnement est stocké.

Si le champ "environment" est introuvable, l'environnement est "".
Modèle d'expression régulière de l'environnement Chaîne .* Non

Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement".

La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée.

Permet à l'utilisateur de manipuler le champ "environment" (environnement) à l'aide de la logique des expressions régulières

Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est "".
Délai avant expiration du script (en secondes) Integer 60 Oui Délai avant expiration du processus Python exécutant le script actuel.
Adresse du serveur Chaîne N/A Oui Adresse IP du serveur de l'API Elasticsearch.
Port Chaîne N/A Oui Port du serveur d'API Elasticsearch.
Requête Chaîne N/A Oui

Requête DSL utilisée pour la recherche.

Un format JSON valide est requis.

Pour rendre le connecteur plus stable, il est recommandé d'ajouter une clé d'horodatage de tri par ordre croissant.
Index Chaîne N/A Oui

Index utilisé pour une recherche.

Par exemple : _all
Champ de code temporel Chaîne N/A Oui

Nom du champ dans lequel se trouve le code temporel.
Exemple :

source@timestamp
Nom du champ d'alerte Chaîne N/A Oui

Nom du champ dans lequel se trouve le nom de l'alerte.
Exemple :

_source_info_alertname
Champ "Description" Chaîne N/A Non

Nom du champ dans lequel se trouve la description.
Exemple :

_source_alert_info_description
Gravité Chaîne Moyenne Oui

Gravité des alertes.
Valeur possible :

Infos

Faible

Moyen

Élevée

Critique
Limite du nombre d'alertes Integer 100 Non Limitez le nombre d'alertes renvoyées par le connecteur par itération.
Authentifier Case à cocher Décochée Non Indique si l'authentification doit être effectuée sur une connexion.
Nom d'utilisateur Chaîne N/A Non Nom d'utilisateur du compte Elasticsearch.
Mot de passe Mot de passe N/A Non Mot de passe du compte Elasticsearch.
Use SSL (Connexion SSL) Case à cocher Décochée Non Option permettant d'activer la connexion SSL/TLS.
Nom du champ de gravité Chaîne N/A Non Si vous souhaitez mapper la gravité en fonction de la valeur de la chaîne, vous devez créer un fichier de mappage. Pour en savoir plus, veuillez consulter le portail de documentation.
Gravité de l'alerte Chaîne N/A Non

Gravité des alertes.

Valeurs possibles : "Info", "Faible", "Moyenne", "Élevée", "Critique".

Remarque : Ce paramètre est prioritaire par rapport à "Nom du champ de gravité". Si vous souhaitez utiliser "Nom du champ de gravité", ce champ doit être laissé vide.
Adresse du serveur proxy Chaîne N/A Non Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy Chaîne N/A Non Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy Mot de passe N/A Non Mot de passe du proxy pour l'authentification.

Notations acceptées

Le connecteur accepte trois notations. Par exemple, si vous souhaitez utiliser event.type dans le paramètre "Nom du champ d'événement". Dans ce cas, vous pouvez fournir _source_event_type, event_type ou event.type. Toutes ces valeurs se comportent de la même manière.

Pour les paramètres :

  • Nom du champ de produit
  • Nom du champ d'événement
  • Nom du champ de gravité
  • Champ "Environnement"
  • Champ de code temporel
  • Champ "Nom de l'alerte"
  • Champ de description de l'alerte : ce champ est réservé aux connecteurs DSL.

Mapper la gravité dans le connecteur

Pour mapper la gravité, vous devez spécifier le champ à utiliser pour obtenir la valeur de la gravité dans le paramètre "Nom du champ de gravité". La réponse peut contenir trois types de valeurs : des entiers, des nombres à virgule flottante et des chaînes. Pour les nombres entiers et à virgule flottante, aucune configuration supplémentaire n'est requise. Le connecteur lira ces valeurs et les mappera conformément aux normes Google SecOps. Pour rappel, voici comment les valeurs entières sont mises en correspondance :

  • 100 – Critique
  • 100 > x >= 80 : élevé
  • 80 > x >=60 : moyenne
  • 60 > x >=40 : faible
  • 40 > x Informational

Si la réponse contient des chaînes, une configuration supplémentaire est requise. Dans le dossier où se trouvent les scripts du connecteur, vous trouverez un fichier de configuration nommé severity_map_config.json. Ce fichier définit les règles de mappage pour la gravité.

Au départ, le fichier se présente comme suit :

{
    "Default": 50
}

Imaginez une situation où les valeurs requises se trouvent dans event.severity. event.severity peut contenir les valeurs suivantes : "Malicious" (Malveillant), "Benign" (Bénin) ou "Unknown" (Inconnu).

Tout d'abord, nous devons spécifier dans le paramètre "Nom du champ de gravité" que nous allons utiliser event.severity.

Ensuite, nous devons mettre à jour le fichier de configuration.

Une fois les modifications effectuées, le fichier severity_map_config.json devrait se présenter comme suit :

{
    "event.severity": {
        "Malicious": 100,
        "Unknown": 60,
        "Benign": -1
    },
    "Default": 50
}

Désormais, lorsque le connecteur recevra un événement avec event.severity = "Malicious", il lui attribuera le niveau de gravité "Critique".

Règles du connecteur

Liste blanche/Liste noire

Le connecteur n'est pas compatible avec les listes blanche/noire.

Assistance de proxy

Le connecteur est compatible avec le proxy.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.