Diese Seite wurde von der Cloud Translation API übersetzt.

Fortinet FortiSIEM

Integrationsversion: 5.0

Fortinet FortiSIEM-Integration in Google Security Operations konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
API-Stamm	String	https://x.x.x.x:port	Ja	Geben Sie den API-Stamm für die Zielinstallation von FortiSIEM an.
Nutzername	String	–	Ja	Geben Sie den Nutzernamen an, der für die Zielinstallation von FortiSIEM verwendet werden soll.
Passwort	Passwort	–	Ja	Geben Sie das Passwort an, das für die FortiSIEM-Zielinstallation verwendet werden soll.
SSL überprüfen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, prüft der Google SecOps-Server, ob das Zertifikat für den API-Root konfiguriert ist.

Anwendungsfälle für Produkte

Nehmen Sie Benachrichtigungen von SIEM in Google SecOps auf.
Daten aus dem SIEM für die Anreicherung von Google SecOps-Benachrichtigungen verwenden.
Synchronisieren Sie die Status der mit Google SecOps-Benachrichtigungen verarbeiteten Ereignisse auf SIEM-Seite.

Aktionen

Ping

Beschreibung

Testen Sie die Verbindung zu FortiSIEM mit den Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Parameter

–

Ausführen am

Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success=False

JSON-Ergebnis

N/A

Entitätsanreicherung

–

Statistiken

–

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the FortiSIEM installation with the provided connection parameters!“ (Die Verbindung zur FortiSIEM-Installation mit den angegebenen Verbindungsparametern wurde erfolgreich hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: >Wenn nicht erfolgreich: „Failed to connect to the FortiSIEM installation! Fehler: {0}".format(exception.stacktrace)"	Allgemein

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Successfully connected to the FortiSIEM installation with the provided connection parameters!“ (Die Verbindung zur FortiSIEM-Installation mit den angegebenen Verbindungsparametern wurde erfolgreich hergestellt.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

>Wenn nicht erfolgreich: „Failed to connect to the FortiSIEM installation! Fehler: {0}".format(exception.stacktrace)"

Allgemein

Entitäten anreichern

Beschreibung

Entitäten mit Informationen aus der Fortinet FortiSIEM CMDB anreichern. Unterstützte Einheiten: Hostname, IP-Adresse.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Zielorganisation	String	–	Nein	Geben Sie den optionalen Namen der Zielorganisation an, um nur in dieser Organisation nach Anreicherungsdaten zu suchen.

Ausführen am

Diese Aktion wird für die folgenden Einheiten ausgeführt:

Hostname
IP-Adresse

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success=False

JSON-Ergebnis

[
  {
    "Entity": "centos-xxx",
    "EntityResult": {
      "device": {
        "organization": {
          "@id": "1xx",
          "@name": "Super"
        },
        "accessIp": "172.30.xxx.xxx",
        "approved": "true",
        "components": null,
        "creationMethod": "LOG",
        "deviceType": {
          "accessProtocols": "TELNET,SSH",
          "jobWeight": "10",
          "model": "Unix",
          "vendor": "Generic",
          "version": "ANY"
        },
        "discoverMethod": "LOG",
        "discoverTime": "1640008485000",
        "eventParserList": null,
        "interfaces": null,
        "ipToHostNames": null,
        "luns": null,
        "name": "centos-xxx",
        "naturalId": "centos%2dxxx",
        "processors": null,
        "properties": {
          "customproperty": [
            {
              "matched": "false",
              "propertyDef": {
                "displayInCMDB": "false",
                "displayName": "Importance",
                "groupKey": "false",
                "propertyName": "importance",
                "subValueType": "STRING",
                "valueType": "STRING"
              },
              "propertyName": "importance",
              "propertyValue": "Normal",
              "updated": "false"
            },
            {
              "matched": "false",
              "propertyDef": {
                "displayInCMDB": "false",
                "displayName": "Location Name",
                "groupKey": "false",
                "propertyName": "locationName",
                "subValueType": "STRING",
                "valueType": "STRING"
              },
              "propertyName": "locationName",
              "updated": "false"
            }
          ]
        },
        "raidGroups": null,
        "sanControllerPorts": null,
        "softwarePatches": null,
        "softwareServices": null,
        "status": "2",
        "storageGroups": null,
        "storages": null,
        "unmanaged": "false",
        "updateMethod": "LOG",
        "version": "ANY",
        "winMachineGuid": null
      }
    }
  },
  {
    "Entity": "172.30.xxx.xxx",
    "EntityResult": {
      "device": {
        "organization": {
          "@id": "1xx",
          "@name": "Super"
        },
        "accessIp": "172.30.xxx.xxx",
        "applications": null,
        "approved": "true",
        "components": null,
        "creationMethod": "LOG",
        "deviceType": {
          "accessProtocols": "TELNET,SSH",
          "jobWeight": "10",
          "model": "Unix",
          "vendor": "Generic",
          "version": "ANY"
        },
        "discoverMethod": "LOG",
        "discoverTime": "1640070721000",
        "eventParserList": {
          "eventparser": {
            "deviceType": {
              "category": "Appliance",
              "jobWeight": "10",
              "model": "Generic",
              "vendor": "Generic",
              "version": "ANY"
            },
            "enabled": "true",
            "name": "SyslogNGParser",
            "parserXml": "<patternDefinitions><pattern>..."
          }
        },
        "interfaces": null,
        "ipToHostNames": null,
        "luns": null,
        "name": "centos-xxx",
        "naturalId": "centos",
        "primaryContactUser": "0",
        "processors": null,
        "properties": {
          "customproperty": [
            {
              "matched": "false",
              "propertyDef": {
                "displayInCMDB": "false",
                "displayName": "Importance",
                "groupKey": "false",
                "propertyName": "importance",
                "subValueType": "STRING",
                "valueType": "STRING"
              },
              "propertyName": "importance",
              "propertyValue": "Mission Critical",
              "updated": "false"
            },
            {
              "matched": "false",
              "propertyDef": {
                "displayInCMDB": "false",
                "displayName": "Location Name",
                "groupKey": "false",
                "propertyName": "locationName",
                "subValueType": "STRING",
                "valueType": "STRING"
              },
              "propertyName": "locationName",
              "updated": "false"
            }
          ]
        },
        "raidGroups": null,
        "sanControllerPorts": null,
        "secondaryContactUser": "0",
        "softwarePatches": null,
        "softwareServices": null,
        "status": "2",
        "storageGroups": null,
        "storages": null,
        "unmanaged": "false",
        "updateMethod": "MANUAL",
        "version": "ANY",
        "winMachineGuid": null
      }
    }
  }
]

Entitätsanreicherung

Name des Anreicherungsfelds	Quelle (JSON-Schlüssel)	Logik – Wann anwenden?
accessIp	accessIp	Wenn in XML verfügbar
Name	Name	Wenn in XML verfügbar
Anwendungen	CSV-Datei von „applications/name“	Wenn in XML verfügbar
creationMethod	creationMethod	Wenn in XML verfügbar
deviceType_model	deviceType_model	Wenn in XML verfügbar
deviceType_accessProtocols deviceType_vendor	deviceType_accessProtocols deviceType_vendor	Wenn in XML verfügbar
discoverMethod	discoverMethod	Wenn in XML verfügbar
discoverTime	discoverTime	Wenn in XML verfügbar

Statistiken

–

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für eine Entität verfügbar sind (is_success=true): „Successfully enriched the following entities using information from FortiSIEM: {entity.identifier}.“ (Die folgenden Entitäten wurden mit Informationen aus FortiSIEM angereichert: {entity.identifier}.) Wenn für ein Element keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden Elemente nicht mit Informationen aus FortiSIEM anreichern: {entity.identifier}.“ Wenn für nicht alle Entitäten Daten verfügbar sind (is_success=false): „None of the provided entities were enriched.“ (Keine der angegebenen Entitäten wurde angereichert.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Fehler beim Ausführen der Aktion ‚Enrich Entities‘“, Grund: {0}''.format(error.Stacktrace)	Allgemein
Tabelle „Fall-Repository“	Tabellentitel: {entity.identifier} Tabellenspalten: Schlüssel Wert	Entität

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn Daten für eine Entität verfügbar sind (is_success=true): „Successfully enriched the following entities using information from FortiSIEM: {entity.identifier}.“ (Die folgenden Entitäten wurden mit Informationen aus FortiSIEM angereichert: {entity.identifier}.)

Wenn für ein Element keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden Elemente nicht mit Informationen aus FortiSIEM anreichern: {entity.identifier}.“

Wenn für nicht alle Entitäten Daten verfügbar sind (is_success=false): „None of the provided entities were enriched.“ (Keine der angegebenen Entitäten wurde angereichert.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Fehler beim Ausführen der Aktion ‚Enrich Entities‘“, Grund: {0}''.format(error.Stacktrace)

Allgemein

Tabelle „Fall-Repository“

Tabellentitel: {entity.identifier}

Tabellenspalten:

Schlüssel
Wert

Entität

Einfache Abfrage ausführen

Beschreibung

Führt eine FortiSIEM-Ereignisabfrage basierend auf den angegebenen Parametern aus.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Ereignistypen	CSV	–	Nein	Geben Sie die Ereignistypen an, die in der Abfrage abgerufen werden sollen. Für den Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden.
Mindestschweregrad für Abruf	Ganzzahl	–	Nein	Geben Sie den Mindestschweregrad für Ereignisse an, die in Google SecOps abgerufen werden sollen. Beispiel: 5 oder 7
Ereigniskategorie	CSV	–	Nein	Geben Sie an, welche Ereigniskategorie mit der Abfrage abgerufen werden soll. Für den Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden.
Ereignis-IDs	CSV	–	Nein	Geben Sie optional die genauen Ereignis-IDs an, die abgerufen werden sollen. Für den Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden.
Zurückzugebende Felder	CSV	–	Nein	Geben Sie die Felder an, die zurückgegeben werden sollen. Wenn nichts angegeben ist, werden alle Felder zurückgegeben.
Sortierfeld	String	phRecvTime	Nein	Geben Sie den Parameter an, der für die Sortierung verwendet werden soll.
Sortierreihenfolge	DDL	DESC Mögliche Werte: ASC DESC	Nein	Geben Sie die Sortierreihenfolge an.
Zeitraum	DDL	Letzte Stunde Mögliche Werte: Letzte Stunde Letzte 6 Stunden Letzte 24 Stunden Letzte Woche Letzter Monat Benutzerdefiniert	Nein	Geben Sie einen Zeitraum für die Ergebnisse an. Wenn „Benutzerdefiniert“ ausgewählt ist, müssen Sie auch den Parameter „Startzeit“ angeben.
Beginn	String	–	Nein	Geben Sie die Startzeit für die Ergebnisse an. Dieser Parameter ist erforderlich, wenn für den Parameter „Zeitrahmen“ die Option „Benutzerdefiniert“ ausgewählt ist. Format: ISO 8601 Beispiel: 2021-04-23T12:38Z
Ende	String	–	Nein	Geben Sie die Endzeit für die Ergebnisse an. Wenn nichts angegeben ist und für den Parameter „Zeitrahmen“ die Option „Benutzerdefiniert“ ausgewählt ist, wird für diesen Parameter die aktuelle Zeit verwendet. Format: ISO 8601
Maximale Anzahl zurückzugebender Ergebnisse	Ganzzahl	50	Nein	Geben Sie die Anzahl der zurückzugebenden Ergebnisse an.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success=False

JSON-Ergebnis

[
  {
    "custId": "1",
    "attributes": {
      "eventType": "Unknown_EventType",
      "eventSeverity": "3",
      "eventAction": "0 (Permit)",
      "phRecvTime": "Wed Dec 29 00:36:55 IST 2021",
      "relayDevIpAddr": "172.30.20xxx",
      "reptDevIpAddr": "172.30.20xxx",
      "destIpAddr": "172.30.20xxx",
      "destName": "HOST-172.30.20xxx",
      "reptDevName": "centos-xxx",
      "reptVendor": "Unknown",
      "customer": "Super",
      "reptModel": "Unknown",
      "rawEventMsg": "<27>Dec 29 00:36:47 centos-xxx aella_flow[5074]: 1902195|aos_afix_json|ERR|Failed to send message: Couldn't connect to server/7",
      "collectorId": "1",
      "eventId": "4242813061460978xxx",
      "phEventCategory": "0 (External)",
      "count": "1",
      "eventName": "Unknown event type",
      "eventParsedOk": "0",
      "parserName": "SyslogNGParser"
    },
    "dataStr": null,
    "eventType": "Unknown_EventType",
    "id": "4242813061460978xxx",
    "index": "0",
    "nid": "4242813061460978xxx",
    "receiveTime": "2021-12-29T00:36:55+02:00"
  }
]

Entitätsanreicherung

–

Statistiken

–

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn mindestens einige Daten gefunden wurden (is_success=true): „Successfully retrieved results for the constructed query {query} in FortiSIEM.“ (Die Ergebnisse für die erstellte Abfrage „{query}“ wurden in FortiSIEM abgerufen.) Wenn keine Ergebnisse gefunden werden (is_success=false): „No results were found for the constructed query „{Query}“ in FortiSIEM.“ (Für die erstellte Abfrage „{Query}“ in FortiSIEM wurden keine Ergebnisse gefunden.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Einfache Abfrage‘. Grund: {0}''.format(error.Stacktrace) Wenn der Parameter „Start Time“ (Startzeit) leer ist und der Parameter „Time Frame“ (Zeitrahmen) auf „Custom“ (Benutzerdefiniert) festgelegt ist (Fehler): „Error executing action "". Reason: "Start Time" should be provided, when "Custom" is selected in the "Time Frame" parameter.“ (Fehler beim Ausführen der Aktion „“. Grund: „Start Time“ (Startzeit) muss angegeben werden, wenn im Parameter „Time Frame“ (Zeitrahmen) „Custom“ (Benutzerdefiniert) ausgewählt ist.) Wenn der Wert des Parameters „Startzeit“ größer ist als der Wert des Parameters „Endezeit“ (Fehler): „Fehler beim Ausführen der Aktion „“. Grund: „Endezeit“ muss nach „Startzeit“ liegen.	Allgemein
Tabelle	Tabellenname:Simple Query Results Tabellenspalten:Alle Spalten aus der Antwort	Allgemein

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn mindestens einige Daten gefunden wurden (is_success=true): „Successfully retrieved results for the constructed query {query} in FortiSIEM.“ (Die Ergebnisse für die erstellte Abfrage „{query}“ wurden in FortiSIEM abgerufen.)

Wenn keine Ergebnisse gefunden werden (is_success=false): „No results were found for the constructed query „{Query}“ in FortiSIEM.“ (Für die erstellte Abfrage „{Query}“ in FortiSIEM wurden keine Ergebnisse gefunden.)

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Einfache Abfrage‘. Grund: {0}''.format(error.Stacktrace)

Wenn der Parameter „Start Time“ (Startzeit) leer ist und der Parameter „Time Frame“ (Zeitrahmen) auf „Custom“ (Benutzerdefiniert) festgelegt ist (Fehler): „Error executing action "". Reason: "Start Time" should be provided, when "Custom" is selected in the "Time Frame" parameter.“ (Fehler beim Ausführen der Aktion „“. Grund: „Start Time“ (Startzeit) muss angegeben werden, wenn im Parameter „Time Frame“ (Zeitrahmen) „Custom“ (Benutzerdefiniert) ausgewählt ist.)

Wenn der Wert des Parameters „Startzeit“ größer ist als der Wert des Parameters „Endezeit“ (Fehler): „Fehler beim Ausführen der Aktion „“. Grund: „Endezeit“ muss nach „Startzeit“ liegen.

Allgemein

Tabelle

Tabellenname:Simple Query Results

Tabellenspalten:Alle Spalten aus der Antwort

Allgemein

Benutzerdefinierte Abfrage ausführen

Beschreibung

Führen Sie eine benutzerdefinierte Abfrage in FortiSIEM aus.

Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Abfrage	Mehrzeiliges Eingabefeld für String	(Attribut = Wert ODER Wert) UND (Attributwert ODER Wert)	Ja	Geben Sie eine Abfrage an, mit der Informationen zu den Ereignissen abgerufen werden. Beispiel: (relayDevIpAddr = 172.30.202.1 OR 172.30.202.2) AND (reptDevName = HOST1)
Zurückzugebende Felder	CSV		Nein	Geben Sie die Felder an, die zurückgegeben werden sollen. Wenn nichts angegeben ist, werden alle Felder zurückgegeben.
Sortierfeld	String	phRecvTime	Nein	Geben Sie den Parameter an, der für die Sortierung verwendet werden soll.
Sortierreihenfolge	DDL	DESC Mögliche Werte: ASC DESC	Nein	Geben Sie die Sortierreihenfolge an.
Zeitraum	DDL	Letzte Stunde Mögliche Werte: Letzte Stunde Letzte 6 Stunden Letzte 24 Stunden Letzte Woche Letzter Monat Benutzerdefiniert	Nein	Geben Sie einen Zeitraum für die Ergebnisse an. Wenn „Benutzerdefiniert“ ausgewählt ist, müssen Sie auch den Parameter „Startzeit“ angeben.
Beginn	String	–	Nein	Geben Sie die Startzeit für die Ergebnisse an. Dieser Parameter ist erforderlich, wenn für den Parameter „Zeitrahmen“ die Option „Benutzerdefiniert“ ausgewählt ist. Format: ISO 8601 Beispiel: 2021-04-23T12:38Z
Ende	String	–	Nein	Geben Sie die Endzeit für die Ergebnisse an. Wenn nichts angegeben ist und für den Parameter „Zeitrahmen“ die Option „Benutzerdefiniert“ ausgewählt ist, wird für diesen Parameter die aktuelle Zeit verwendet.
Maximale Anzahl zurückzugebender Ergebnisse	Ganzzahl	50	Nein	Geben Sie die Anzahl der zurückzugebenden Ergebnisse an.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success=False

JSON-Ergebnis

[
  {
    "custId": "1",
    "attributes": {
      "eventType": "Unknown_EventType",
      "eventSeverity": "3",
      "eventAction": "0 (Permit)",
      "phRecvTime": "Wed Dec 29 00:36:55 IST 2021",
      "relayDevIpAddr": "172.30.20xxx",
      "reptDevIpAddr": "172.30.20xxx",
      "destIpAddr": "172.30.20xxx",
      "destName": "HOST-172.30.20xxx",
      "reptDevName": "centos-xxx",
      "reptVendor": "Unknown",
      "customer": "Super",
      "reptModel": "Unknown",
      "rawEventMsg": "<27>Dec 29 00:36:47 centos-xxx aella_flow[5074]: 1902195|aos_afix_json|ERR|Failed to send message: Couldn't connect to server/7",
      "collectorId": "1",
      "eventId": "4242813061460978xxx",
      "phEventCategory": "0 (External)",
      "count": "1",
      "eventName": "Unknown event type",
      "eventParsedOk": "0",
      "parserName": "SyslogNGParser"
    },
    "dataStr": null,
    "eventType": "Unknown_EventType",
    "id": "4242813061460978xxx",
    "index": "0",
    "nid": "4242813061460978xxx",
    "receiveTime": "2021-12-29T00:36:55+02:00"
  }
]

Entitätsanreicherung

–

Statistiken

–

Fall-Repository

Ergebnistyp	Wert/Beschreibung	Typ
Ausgabemeldung*	Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn mindestens einige Daten gefunden wurden (is_success=true): „Successfully retrieved results for the provided query '{query}' in FortiSIEM.“ (Die Ergebnisse für die angegebene Abfrage „{query}“ wurden in FortiSIEM abgerufen.) Wenn keine Ergebnisse gefunden werden (is_success=false): „Für die angegebene Anfrage {Query} wurden in FortiSIEM keine Ergebnisse gefunden.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Einfache Abfrage‘. Grund: {0}''.format(error.Stacktrace) Wenn der Parameter „Start Time“ (Startzeit) leer ist und der Parameter „Time Frame“ (Zeitrahmen) auf „Custom“ (Benutzerdefiniert) festgelegt ist (Fehler): „Error executing action "". Reason: "Start Time" should be provided, when "Custom" is selected in the "Time Frame" parameter.“ (Fehler beim Ausführen der Aktion „“. Grund: „Start Time“ (Startzeit) muss angegeben werden, wenn im Parameter „Time Frame“ (Zeitrahmen) „Custom“ (Benutzerdefiniert) ausgewählt ist.) Wenn der Wert von „Startzeit“ größer ist als der Wert des Parameters „Endzeit“ (Fehler): „Fehler beim Ausführen der Aktion „“. Grund: „Endzeit“ sollte nach „Startzeit“ liegen.	Allgemein
Tabelle	Tabellenname: „Custom Query Results“ Tabellenspalten:Alle Spalten aus der Antwort	Allgemein

Ergebnistyp

Wert/Beschreibung

Typ

Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Wenn mindestens einige Daten gefunden wurden (is_success=true): „Successfully retrieved results for the provided query '{query}' in FortiSIEM.“ (Die Ergebnisse für die angegebene Abfrage „{query}“ wurden in FortiSIEM abgerufen.)

Wenn keine Ergebnisse gefunden werden (is_success=false): „Für die angegebene Anfrage {Query} wurden in FortiSIEM keine Ergebnisse gefunden.“

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn der Wert von „Startzeit“ größer ist als der Wert des Parameters „Endzeit“ (Fehler): „Fehler beim Ausführen der Aktion „“. Grund: „Endzeit“ sollte nach „Startzeit“ liegen.

Allgemein

Tabelle

Tabellenname: „Custom Query Results“

Tabellenspalten:Alle Spalten aus der Antwort

Allgemein

Connectors

FortiSIEM Incidents Connector

Connector-Beschreibung

Mit dem Connector können FortiSIEM-Vorfälle abgerufen werden. Mit der Connector-Whitelist können nur bestimmte Arten von Vorfällen basierend auf dem Attributwert „eventType“ des Vorfalls erfasst werden. Mit SourceGroupIdentifier des Connectors können Google SecOps-Benachrichtigungen anhand der Vorfall-ID gruppiert werden. Für den Connector ist FortiSIEM-Version 6.3 oder höher erforderlich.

Connector-Parameter

Anzeigename des Parameters	Typ	Standardwert	Ist obligatorisch	Beschreibung
Produktfeldname	String	deviceProduct	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen.
Name des Ereignisfelds	String	eventType	Ja	Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen.
Name des Umgebungsfelds	String		Nein	Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung.
Regex-Muster für Umgebung	String	.*	Nein	Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
Zeitlimit für Script	Ganzzahl	300	Ja	Geben Sie das Zeitlimit für die Ausführung des Connectors an.
API-Stamm	String	https:/x.x.x.x:port	Ja	Geben Sie den API-Stamm für die Zielinstallation von FortiSIEM an.
Nutzername	String	–	Ja	Geben Sie den Nutzernamen an, der für die Zielinstallation von FortiSIEM verwendet werden soll.
Passwort	Passwort	–	Ja	Geben Sie das Passwort an, das für die FortiSIEM-Zielinstallation verwendet werden soll.
SSL überprüfen	Kästchen	Aktiviert	Nein	Wenn diese Option aktiviert ist, prüft der Google SecOps-Server das für den API-Root konfigurierte Zertifikat.
Zielorganisation	CSV	–	Nein	Geben Sie die Organisationen an, für die der Connector Vorfälle abrufen soll. Für Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden.
Maximale Anzahl Stunden rückwärts	Ganzzahl	24	Ja	Geben Sie den Zeitraum an, aus dem Vorfälle abgerufen werden sollen (X Stunden rückwärts).
Maximale Anzahl von Vorfällen pro Zyklus	Ganzzahl	10	Ja	Geben Sie an, wie viele Vorfälle bei einem Connector-Lauf verarbeitet werden sollen.
Maximale Anzahl von Ereignissen pro Vorfall	Ganzzahl	100	Ja	Geben Sie die maximale Anzahl von Ereignissen an, die der Connector für den Vorfall erfassen soll. Wenn das Limit erreicht ist, werden keine neuen Ereignisse mehr in Google SecOps hinzugefügt.
Abzurufende Vorfallstatus	CSV	0	Nein	Geben Sie an, welche Status von Vorfällen in Google SecOps abgerufen werden sollen. Für den Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. 0 steht für Vorfälle mit dem Status „Offen“.
Mindestschweregrad für Abruf	Ganzzahl	–	Nein	Geben Sie den Mindestschweregrad des Ereignisses an, das für Google SecOps abgerufen werden soll, z. B. 5 oder 7.
Zulassungsliste als Sperrliste verwenden	Kästchen	Deaktiviert	Ja	Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet.
Neue Ereignisse in bereits aufgenommenen Vorfällen erfassen	Kästchen	Aktiviert	Ja	Wenn diese Option aktiviert ist und einem bereits aufgenommenen FortiSIEM-Vorfall neue Ereignisse hinzugefügt werden, wird in Google SecOps eine zusätzliche neue Benachrichtigung mit diesen neuen Ereignissen erstellt.
Schwellenwert für neue Ereignisse (Stunden)	Ganzzahl	24	Ja	Wenn das Kästchen „Neue Ereignisse für bereits aufgenommene Vorfälle erfassen“ aktiviert ist, geben Sie die maximale Anzahl von Stunden an, die der Connector bereits aufgenommene Vorfälle nach neuen Ereignissen durchsuchen soll. Wenn das Limit erreicht ist, werden keine neuen Ereignisse mehr in Google SecOps hinzugefügt.
Proxyserveradresse	String	–	Nein	Geben Sie die Adresse des zu verwendenden Proxyservers an.
Proxy-Nutzername	String	–	Nein	Geben Sie den Proxy-Nutzernamen für die Authentifizierung an.
Proxy-Passwort	Passwort	–	Nein	Geben Sie das Proxy-Passwort für die Authentifizierung an.

Connector-Regeln

Proxyunterstützung

Der Connector unterstützt Proxys.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten