Cette page a été traduite par l'API Cloud Translation.

Humio

Version de l'intégration : 5.0

Configurer l'intégration Humio dans Google Security Operations

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Racine de l'API	Chaîne	https://cloud.us.humio.com	Oui	Racine de l'API de l'instance Humio.
Jeton d'API	Mot de passe	N/A	Oui	Jeton d'API de l'instance Humio.
Vérifier le protocole SSL	Case à cocher	Cochée	Oui	Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Humio est valide.

Cas d'utilisation

Ingérer les événements à partir des dépôts
Effectuer une recherche

Actions

Ping

Description

Testez la connectivité à Humio avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.

Paramètres

N/A

Exécuter sur

Cette action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Connexion au serveur Humio établie avec les paramètres de connexion fournis !" L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur Humio ! Error is {0}".format(exception.stacktrace)	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si l'opération réussit : "Connexion au serveur Humio établie avec les paramètres de connexion fournis !"

L'action doit échouer et arrêter l'exécution d'un playbook :

Si l'opération échoue : "Échec de la connexion au serveur Humio ! Error is {0}".format(exception.stacktrace)

Général

Exécuter une recherche simple

Description

Recherchez des événements en fonction de paramètres dans Humio.

Paramètres

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom du dépôt	Chaîne	N/A	Oui	Spécifiez le nom du dépôt dans lequel la recherche doit être effectuée.
Filtre de requête	Chaîne	N/A	Non	Spécifiez la requête à exécuter lors de la recherche. Remarque : Les fonctions "head()" et "select()" ne doivent pas être fournies.
Période	LDD	La dernière heure Valeurs possibles : La dernière heure Les 6 dernières heures Dernières 24 heures La semaine dernière Le mois dernier Personnalisé	Non	Spécifiez une période pour les résultats. Si vous sélectionnez "Personnalisé", vous devez également fournir le paramètre "Heure de début".
Heure de début	Chaîne	N/A	Non	Spécifiez l'heure de début des résultats. Ce paramètre est obligatoire si l'option "Personnalisé" est sélectionnée pour le paramètre "Période". Format : ISO 8601
Heure de fin	Chaîne	N/A	Non	Spécifiez l'heure de fin des résultats. Format : ISO 8601. Si aucune valeur n'est fournie et que "Personnalisée" est sélectionné pour le paramètre "Période", ce paramètre utilise l'heure actuelle.
Champs à renvoyer	CSV	N/A	Non	Spécifiez les champs à renvoyer. Si aucune valeur n'est fournie, l'action renvoie tous les champs.
Champ de tri	Chaîne	N/A	Non	Spécifiez le paramètre à utiliser pour le tri. Par défaut, la requête trie les données par code temporel dans l'ordre croissant.
Type de champ de tri	LDD	Chaîne Valeurs possibles : Chaîne Nombre Hex	Non	Spécifiez le type du champ utilisé pour le tri. Ce paramètre est nécessaire pour s'assurer que les bons résultats sont renvoyés.
Ordre de tri	LDD	ASC Valeurs possibles : ASC DESC	Non	Spécifiez l'ordre de tri.
Nombre maximal de résultats à renvoyer	Integer	50	Non	Spécifiez le nombre de résultats à renvoyer.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
  {
    "@timestamp": 1636028056292,
    "@rawstring": {
      "actor": {
        "ip": "31.43.227.151",
        "orgRoot": false,
        "organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
        "proxyRequest": false,
        "type": "orgUser",
        "user": {
          "id": "MgPXnBAKQ4gCg25hW5jKhYTo",
          "isRoot": false,
          "username": "dana@example.com"
        }
      },
      "method": "google",
      "sensitive": false,
      "timestamp": "2021-11-04T12:14:16.292Z",
      "type": "user.signin"
    },
    "@id": "gZPMhXMMcScGXHwxZ7bRH6Ns_88_264_1636028056"
  },
  {
    "@timestamp": 1636028057934,
    "@rawstring": {
      "actor": {
        "ip": "31.43.227.151",
        "orgRoot": false,
        "organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
        "proxyRequest": false,
        "type": "orgUser",
        "user": {
          "id": "MgPXnBAKQ4gCg25hW5jKhYTo",
          "isRoot": false,
          "username": "dana@example.com"
        }
      },
      "sensitive": false,
      "timestamp": "2021-11-04T12:14:17.934Z",
      "type": "notifications.user.create"
    },
    "@id": "lSLLg2gMDW8GwHtpZTGD8GU1_65_108_1636028057"
  }
]

Mur des cas

Type de résultat	Valeur / Description	Type
Type de résultat	Valeur/Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si au moins un résultat est trouvé (is_success=true) : "Les résultats de la requête "{query}" ont été renvoyés avec succès dans Humio." Si aucun résultat n'est trouvé (is_success=true) : "Aucun résultat n'a été trouvé pour la requête "{query}" dans Humio." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale se produit (par exemple, des identifiants incorrects, une absence de connexion au serveur, etc.) : "Erreur lors de l'exécution de l'action "Exécuter une recherche simple". Raison : {0}''.format(error.Stacktrace) Si le code d'état 400 est signalé : "Erreur lors de l'exécution de l'action "Exécuter une recherche simple". Motif : {0}''.format(response) Si le code d'état 404 est signalé : "Erreur lors de l'exécution de l'action "Exécuter la recherche personnalisée". Motif : {0}''.format(response)	Général
Mur des cas	Nom : Résultats	Général

Type de résultat

Valeur / Description

Type

Type de résultat

Valeur/Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si au moins un résultat est trouvé (is_success=true) : "Les résultats de la requête "{query}" ont été renvoyés avec succès dans Humio."

Si aucun résultat n'est trouvé (is_success=true) : "Aucun résultat n'a été trouvé pour la requête "{query}" dans Humio."

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale se produit (par exemple, des identifiants incorrects, une absence de connexion au serveur, etc.) : "Erreur lors de l'exécution de l'action "Exécuter une recherche simple". Raison : {0}''.format(error.Stacktrace)

Si le code d'état 400 est signalé : "Erreur lors de l'exécution de l'action "Exécuter une recherche simple". Motif : {0}''.format(response)

Si le code d'état 404 est signalé : "Erreur lors de l'exécution de l'action "Exécuter la recherche personnalisée". Motif : {0}''.format(response)

Général

Mur des cas

Nom : Résultats

Général

Exécuter une recherche personnalisée

Description

Recherchez des événements à l'aide d'une requête personnalisée dans Humio.

Paramètres

Nom à afficher du paramètre

Type

Valeur par défaut

Obligatoire

Description

Nom du dépôt

Chaîne

N/A

Oui

Spécifiez le nom du dépôt dans lequel la recherche doit être effectuée.

Requête

Chaîne

N/A

Oui

Spécifiez la requête à exécuter dans Humio.

Remarque : La fonction "head()" ne doit pas faire partie de cette chaîne.

Nombre maximal de résultats à renvoyer

Integer

Non

Spécifiez le nombre de résultats à renvoyer.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[
  {
    "@timestamp": 1636028056292,
    "@rawstring": {
      "actor": {
        "ip": "31.43.227.151",
        "orgRoot": false,
        "organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
        "proxyRequest": false,
        "type": "orgUser",
        "user": {
          "id": "MgPXnBAKQ4gCg25hW5jKhYTo",
          "isRoot": false,
          "username": "dana@example.com"
        }
      },
      "method": "google",
      "sensitive": false,
      "timestamp": "2021-11-04T12:14:16.292Z",
      "type": "user.signin"
    },
    "@id": "gZPMhXMMcScGXHwxZ7bRH6Ns_88_264_1636028056"
  },
  {
    "@timestamp": 1636028057934,
    "@rawstring": {
      "actor": {
        "ip": "31.43.227.151",
        "orgRoot": false,
        "organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",

              "proxyRequest": false,
        "type": "orgUser",
        "user": {
          "id": "MgPXnBAKQ4gCg25hW5jKhYTo",
          "isRoot": false,
          "username": "dana@example.com"
        }
      },
      "sensitive": false,
      "timestamp": "2021-11-04T12:14:17.934Z",
      "type": "notifications.user.create"
    },
    "@id": "lSLLg2gMDW8GwHtpZTGD8GU1_65_108_1636028057"
  }
]

Mur des cas

Type de résultat	Valeur / Description	Type
Message de sortie*	L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si au moins un résultat est trouvé (is_success=true) : "Les résultats de la requête "{query}" ont été renvoyés avec succès dans Humio." Si aucun résultat n'est trouvé (is_success=true) : "Aucun résultat n'a été trouvé pour la requête "{query}" dans Humio" L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Exécuter la recherche personnalisée". Raison : {0}''.format(error.Stacktrace) Si le code d'état 400 est signalé : "Erreur lors de l'exécution de l'action "Exécuter la recherche personnalisée". Motif : {0}''.format(response) Si le code d'état 404 est signalé : "Erreur lors de l'exécution de l'action "Exécuter la recherche personnalisée". Motif : {0}''.format(response)	Général
Mur des cas	Nom : Résultats	Général

Type de résultat

Valeur / Description

Type

Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

Si au moins un résultat est trouvé (is_success=true) : "Les résultats de la requête "{query}" ont été renvoyés avec succès dans Humio."

Si aucun résultat n'est trouvé (is_success=true) : "Aucun résultat n'a été trouvé pour la requête "{query}" dans Humio"

L'action doit échouer et arrêter l'exécution d'un playbook :

Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Exécuter la recherche personnalisée". Raison : {0}''.format(error.Stacktrace)

Si le code d'état 400 est signalé : "Erreur lors de l'exécution de l'action "Exécuter la recherche personnalisée". Motif : {0}''.format(response)

Si le code d'état 404 est signalé : "Erreur lors de l'exécution de l'action "Exécuter la recherche personnalisée". Motif : {0}''.format(response)

Général

Mur des cas

Nom : Résultats

Général

Connecteurs

Humio – Connecteur d'événements

Description

Extrayez des informations sur les événements du dépôt à partir de Humio.

Configurer le connecteur d'événements Humio dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.

Paramètres du connecteur

Utilisez les paramètres suivants pour configurer le connecteur :

Nom à afficher du paramètre	Type	Valeur par défaut	Obligatoire	Description
Nom du champ de produit	Chaîne	Nom du produit	Oui	Saisissez le nom du champ source pour récupérer le nom du champ produit.
Nom du champ d'événement	Chaîne	event_field	Oui	Saisissez le nom du champ source pour récupérer le nom du champ d'événement.
Nom du champ "Environnement"	Chaîne	""	Non	Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut.
Modèle d'expression régulière de l'environnement	Chaîne	.*	Non	Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final.
Délai avant expiration du script (en secondes)	Integer	360	Oui	Délai avant expiration du processus Python exécutant le script actuel.
Racine de l'API	Chaîne	https://cloud.us.humio.com	Oui	Racine de l'API de l'instance Humio.
Jeton d'API	Mot de passe	N/A	Non	Jeton d'API de l'instance Humio.
Nom du dépôt	Chaîne	N/A	Oui	Nom du dépôt à partir duquel les résultats seront extraits.
Requête	Chaîne	N/A	Non	Interrogez les événements. Remarque : Les fonctions select() et head() ne doivent pas être ajoutées ici.
Nom du champ d'alerte	Chaîne	N/A	Non	Nom de la clé à utiliser pour le nom de l'alerte. Si aucune valeur ou une valeur non valide est fournie, le connecteur utilisera "Humio Alert" comme solution de repli.
Nom du champ de gravité	CSV	N/A	Oui	Liste de clés séparées par une virgule à utiliser pour mapper la gravité. Remarque : Si la clé contient des valeurs "string", elles doivent être mappées avec "Severity Mapping JSON". Si une clé non valide est fournie, la valeur "Default" du paramètre "Severity Mapping JSON" sera utilisée.
JSON de mappage de la gravité	JSON	{ "fieldName": { "value_1": 100, "value_2": 75, "value_3": -1 }, "Default": 50 }	Oui	Objet JSON contenant toutes les clés avec des valeurs de chaîne mappées. Remarque : La clé "Default" est obligatoire.
Nombre maximal d'heures en arrière	Integer	1	Non	Nombre d'heures à partir desquelles récupérer les événements.
Nombre maximal d'événements à récupérer	Integer	20	Non	Nombre d'événements à traiter par itération du connecteur.
Utiliser la liste blanche comme liste noire	Case à cocher	Cochée	Oui	Si cette option est activée, la liste blanche sera utilisée comme liste noire.
Vérifier le protocole SSL	Case à cocher	Cochée	Oui	Si cette option est activée, elle vérifie que le certificat SSL pour la connexion à Humio est valide.
Adresse du serveur proxy	Chaîne	N/A	Non	Adresse du serveur proxy à utiliser.
Nom d'utilisateur du proxy	Chaîne	N/A	Non	Nom d'utilisateur du proxy pour l'authentification.
Mot de passe du proxy	Mot de passe	N/A	Non	Mot de passe du proxy pour l'authentification.

Règles du connecteur

Assistance de proxy

Le connecteur est compatible avec le proxy.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.