Humio
Integrationsversion: 5.0
Humio-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
---|---|---|---|---|
API-Stamm | String | https://cloud.us.humio.com | Ja | API-Root der Humio-Instanz. |
API-Token | Passwort | – | Ja | API-Token der Humio-Instanz. |
SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Humio-Server gültig ist. |
Anwendungsbereiche
- Ereignisse aus Repositories aufnehmen
- Suchen
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu Humio mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
Name des Scriptergebnisses | Wertoptionen | Beispiel |
---|---|---|
is_success | Wahr/falsch | is_success:False |
Fall-Repository
Ergebnistyp | Wert / Beschreibung | Typ |
---|---|---|
Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the Humio server with the provided connection parameters!“ (Verbindung zum Humio-Server mit den angegebenen Verbindungsparametern wurde hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn das nicht funktioniert: „Verbindung zum Humio-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Einfache Suche ausführen
Beschreibung
Sie können in Humio anhand von Parametern nach Ereignissen suchen.
Parameter
Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
---|---|---|---|---|
Repository-Name | String | – | Ja | Geben Sie den Namen des Repositorys an, in dem gesucht werden soll. |
Abfragefilter | String | – | Nein | Geben Sie die Abfrage an, die während der Suche ausgeführt werden soll. Hinweis:Die Funktionen „head()“ und „select()“ sollten nicht angegeben werden. |
Zeitraum | DDL | Letzte Stunde Mögliche Werte:
|
Nein | Geben Sie einen Zeitraum für die Ergebnisse an. Wenn „Benutzerdefiniert“ ausgewählt ist, müssen Sie auch den Parameter „Start Time“ (Startzeit) angeben. |
Beginn | String | – | Nein | Geben Sie die Startzeit für die Ergebnisse an. Dieser Parameter ist erforderlich, wenn für den Parameter „Zeitrahmen“ die Option „Benutzerdefiniert“ ausgewählt ist. Format: ISO 8601 |
Ende | String | – | Nein | Geben Sie die Endzeit für die Ergebnisse an. Format: ISO 8601. Wenn nichts angegeben ist und für den Parameter „Zeitrahmen“ die Option „Benutzerdefiniert“ ausgewählt ist, wird für diesen Parameter die aktuelle Zeit verwendet. |
Zurückzugebende Felder | CSV | – | Nein | Geben Sie die Felder an, die zurückgegeben werden sollen. Wenn nichts angegeben ist, werden alle Felder zurückgegeben. |
Sortierfeld | String | – | Nein | Geben Sie an, welcher Parameter für die Sortierung verwendet werden soll. Standardmäßig werden die Daten in der Abfrage nach Zeitstempel in aufsteigender Reihenfolge sortiert. |
Feldtyp sortieren | DDL | String Mögliche Werte:
|
Nein | Geben Sie den Typ des Felds an, das zum Sortieren verwendet wird. Dieser Parameter ist erforderlich, damit die richtigen Ergebnisse zurückgegeben werden. |
Sortierreihenfolge | DDL | ASC Mögliche Werte:
|
Nein | Geben Sie die Sortierreihenfolge an. |
Maximale Anzahl zurückzugebender Ergebnisse | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der zurückzugebenden Ergebnisse an. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
Name des Scriptergebnisses | Wertoptionen | Beispiel |
---|---|---|
is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"@timestamp": 1636028056292,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"method": "google",
"sensitive": false,
"timestamp": "2021-11-04T12:14:16.292Z",
"type": "user.signin"
},
"@id": "gZPMhXMMcScGXHwxZ7bRH6Ns_88_264_1636028056"
},
{
"@timestamp": 1636028057934,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"sensitive": false,
"timestamp": "2021-11-04T12:14:17.934Z",
"type": "notifications.user.create"
},
"@id": "lSLLg2gMDW8GwHtpZTGD8GU1_65_108_1636028057"
}
]
Fall-Repository
Ergebnistyp | Wert / Beschreibung | Typ |
---|---|---|
Ergebnistyp | Wert/Beschreibung | Typ |
Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn mindestens ein Ergebnis gefunden wurde (is_success=true): „Es wurden erfolgreich Ergebnisse für die Anfrage ‚{query}‘ in Humio zurückgegeben.“ Wenn keine Ergebnisse gefunden werden (is_succees=true): „Für die Anfrage {query} wurden in Humio keine Ergebnisse gefunden.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei einem schwerwiegenden Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Einfache Suche ausführen‘. Grund: {0}''.format(error.Stacktrace) Wenn der Statuscode 400 gemeldet wird: „Fehler beim Ausführen der Aktion ‚Einfache Suche ausführen‘. Grund: {0}''.format(response) Wenn der Statuscode 404 gemeldet wird: „Fehler beim Ausführen der Aktion ‚Benutzerdefinierte Suche ausführen‘. Grund: {0}''.format(response) |
Allgemein |
Fall-Repository | Name:Ergebnisse | Allgemein |
Benutzerdefinierte Suche ausführen
Beschreibung
Ereignisse mit benutzerdefinierter Abfrage in Humio suchen
Parameter
Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
---|---|---|---|---|
Repository-Name | String | – | Ja | Geben Sie den Namen des Repositorys an, in dem gesucht werden soll. |
Abfrage | String | – | Ja | Geben Sie die Abfrage an, die in Humio ausgeführt werden muss. Hinweis:Die Funktion „head()“ sollte nicht Teil dieses Strings sein. |
Maximale Anzahl zurückzugebender Ergebnisse | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der zurückzugebenden Ergebnisse an. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
Name des Scriptergebnisses | Wertoptionen | Beispiel |
---|---|---|
is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"@timestamp": 1636028056292,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"method": "google",
"sensitive": false,
"timestamp": "2021-11-04T12:14:16.292Z",
"type": "user.signin"
},
"@id": "gZPMhXMMcScGXHwxZ7bRH6Ns_88_264_1636028056"
},
{
"@timestamp": 1636028057934,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"sensitive": false,
"timestamp": "2021-11-04T12:14:17.934Z",
"type": "notifications.user.create"
},
"@id": "lSLLg2gMDW8GwHtpZTGD8GU1_65_108_1636028057"
}
]
Fall-Repository
Ergebnistyp | Wert / Beschreibung | Typ |
---|---|---|
Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn mindestens ein Ergebnis gefunden wurde (is_success=true): „Es wurden Ergebnisse für die Anfrage ‚{query}‘ in Humio zurückgegeben.“ Wenn keine Ergebnisse gefunden werden (is_succees=true): „Für die Anfrage {query} wurden in Humio keine Ergebnisse gefunden.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Benutzerdefinierte Suche ausführen‘. Grund: {0}''.format(error.Stacktrace) Wenn der Statuscode 400 gemeldet wird: „Fehler beim Ausführen der Aktion ‚Benutzerdefinierte Suche ausführen‘. Grund: {0}''.format(response) Wenn der Statuscode 404 gemeldet wird: „Fehler beim Ausführen der Aktion ‚Benutzerdefinierte Suche ausführen‘. Grund: {0}''.format(response) |
Allgemein |
Fall-Repository | Name:Ergebnisse | Allgemein |
Connectors
Humio – Events Connector
Beschreibung
Informationen zu Ereignissen im Repository aus Humio abrufen
Humio – Events Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
---|---|---|---|---|
Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
Name des Ereignisfelds | String | event_field | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Zeitlimit für Script (Sekunden) | Ganzzahl | 360 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
API-Stamm | String | https://cloud.us.humio.com | Ja | API-Root der Humio-Instanz. |
API-Token | Passwort | – | Nein | API-Token der Humio-Instanz. |
Repository-Name | String | – | Ja | Name des Repositorys, aus dem die Ergebnisse abgerufen werden. |
Abfrage | String | – | Nein | Ereignisse abfragen Hinweis: Die Funktionen „select()“ und „head()“ sollten hier nicht hinzugefügt werden. |
Name des Benachrichtigungsfelds | String | – | Nein | Name des Schlüssels, der für den Benachrichtigungsnamen verwendet werden soll. Wenn nichts oder ein ungültiger Wert angegeben wird, verwendet der Connector „Humio Alert“ als Fallback. |
Feldname für Schweregrad | CSV | – | Ja | Eine durch Kommas getrennte Liste von Schlüsseln, die für die Zuordnung des Schweregrads verwendet werden sollen. Hinweis: Wenn der Schlüssel „string“-Werte enthält, sollten sie mit „Severity Mapping JSON“ zugeordnet werden. Wenn ein ungültiger Schlüssel angegeben wird, wird „Default“ aus dem Parameter „Severity Mapping JSON“ verwendet. |
JSON für die Zuordnung von Schweregraden | JSON | { "fieldName": { "value_1": 100, "value_2": 75, "value_3": -1 }, „Standard“: 50 } |
Ja | JSON-Objekt, das alle Schlüssel mit zugeordneten String-Werten enthält. Hinweis: Der Schlüssel „Default“ ist erforderlich. |
Maximale Stunden zurück | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Ereignisse abgerufen werden sollen. |
Max. abzurufende Ereignisse | Ganzzahl | 20 | Nein | Anzahl der Ereignisse, die pro Connector-Iteration verarbeitet werden sollen. |
Zulassungsliste als Sperrliste verwenden | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zu Humio gültig ist. |
Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten