Humio
Versi integrasi: 5.0
Mengonfigurasi integrasi Humio di Google Security Operations
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Root API | String | https://cloud.us.humio.com | Ya | Root API instance Humio. |
| Token API | Sandi | T/A | Ya | Token API instance Humio. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server Humio valid. |
Kasus Penggunaan
- Melakukan penyerapan peristiwa dari repositori
- Melakukan penelusuran
Tindakan
Ping
Deskripsi
Uji konektivitas ke Humio dengan parameter yang diberikan di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace.
Parameter
T/A
Run On
Tindakan ini tidak berjalan pada entity, dan tidak memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully connected to the Humio server with the provided connection parameters!" (Berhasil terhubung ke server Humio dengan parameter koneksi yang diberikan!) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil: "Gagal terhubung ke server Humio! Error adalah {0}".format(exception.stacktrace) |
Umum |
Lakukan Penelusuran Sederhana
Deskripsi
Telusuri peristiwa berdasarkan parameter di Humio.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Repositori | String | T/A | Ya | Tentukan nama repositori yang harus ditelusuri. |
| Filter Kueri | String | T/A | Tidak | Tentukan kueri yang harus dijalankan selama penelusuran. Catatan: Fungsi "head()" dan "select()" tidak boleh disediakan. |
| Jangka Waktu | DDL | Sejam Terakhir Nilai yang Mungkin:
|
Tidak | Tentukan jangka waktu untuk hasil. Jika "Kustom" dipilih, Anda juga perlu memberikan parameter "Waktu Mulai". |
| Waktu Mulai | String | T/A | Tidak | Tentukan waktu mulai untuk hasil. Parameter ini wajib diisi, jika "Kustom" dipilih untuk parameter "Rentang Waktu". Format: ISO 8601 |
| Waktu Berakhir | String | T/A | Tidak | Tentukan waktu berakhir untuk hasil. Format: ISO 8601. Jika tidak ada yang diberikan dan "Khusus" dipilih untuk parameter "Rentang Waktu", parameter ini akan menggunakan waktu saat ini. |
| Kolom yang Akan Ditampilkan | CSV | T/A | Tidak | Tentukan kolom yang akan ditampilkan. Jika tidak ada yang diberikan, tindakan akan menampilkan semua kolom. |
| Kolom Pengurutan | String | T/A | Tidak | Tentukan parameter yang harus digunakan untuk pengurutan. Secara default, kueri mengurutkan data berdasarkan stempel waktu dalam urutan menaik. |
| Jenis Kolom Pengurutan | DDL | String Nilai yang Mungkin:
|
Tidak | Tentukan jenis kolom yang digunakan untuk pengurutan. Parameter ini diperlukan untuk memastikan hasil yang benar ditampilkan. |
| Tata Urutan | DDL | ASC Nilai yang Mungkin:
|
Tidak | Tentukan urutan penyortiran. |
| Jumlah Hasil Maksimum yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah hasil yang akan ditampilkan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"@timestamp": 1636028056292,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"method": "google",
"sensitive": false,
"timestamp": "2021-11-04T12:14:16.292Z",
"type": "user.signin"
},
"@id": "gZPMhXMMcScGXHwxZ7bRH6Ns_88_264_1636028056"
},
{
"@timestamp": 1636028057934,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"sensitive": false,
"timestamp": "2021-11-04T12:14:17.934Z",
"type": "notifications.user.create"
},
"@id": "lSLLg2gMDW8GwHtpZTGD8GU1_65_108_1636028057"
}
]
Repositori Kasus
| Jenis hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Jenis hasil | Nilai/Deskripsi | Jenis |
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika menemukan setidaknya satu hasil (is_success=true): "Berhasil menampilkan hasil untuk kueri "{query}" di Humio." Jika tidak ada hasil yang ditemukan (is_success=true): "Tidak ada hasil yang ditemukan untuk kueri "{query}" di Humio." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "Execute Simple Search". Alasan: {0}''.format(error.Stacktrace) Jika kode status 400 dilaporkan: "Error saat menjalankan tindakan "Execute Simple Search". Alasan: {0}''.format(response) Jika kode status 404 dilaporkan: "Error saat menjalankan tindakan "Jalankan Penelusuran Kustom". Alasan: {0}''.format(response) |
Umum |
| Repositori Kasus | Nama: Hasil | Umum |
Menjalankan Penelusuran Khusus
Deskripsi
Menelusuri peristiwa menggunakan kueri kustom di Humio.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Repositori | String | T/A | Ya | Tentukan nama repositori yang harus ditelusuri. |
| Kueri | String | T/A | Ya | Tentukan kueri yang perlu dijalankan di Humio. Catatan: Fungsi "head()" tidak boleh menjadi bagian dari string ini. |
| Jumlah Hasil Maksimum yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah hasil yang akan ditampilkan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
[
{
"@timestamp": 1636028056292,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"method": "google",
"sensitive": false,
"timestamp": "2021-11-04T12:14:16.292Z",
"type": "user.signin"
},
"@id": "gZPMhXMMcScGXHwxZ7bRH6Ns_88_264_1636028056"
},
{
"@timestamp": 1636028057934,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"sensitive": false,
"timestamp": "2021-11-04T12:14:17.934Z",
"type": "notifications.user.create"
},
"@id": "lSLLg2gMDW8GwHtpZTGD8GU1_65_108_1636028057"
}
]
Repositori Kasus
| Jenis hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika ditemukan setidaknya satu hasil (is_success=true): "Berhasil menampilkan hasil untuk kueri "{query}" di Humio." Jika tidak ada hasil yang ditemukan (is_succees=true): "Tidak ada hasil yang ditemukan untuk kueri "{query}" di Humio" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Jalankan Penelusuran Kustom". Alasan: {0}''.format(error.Stacktrace) Jika kode status 400 dilaporkan: "Error saat menjalankan tindakan "Jalankan Penelusuran Kustom". Alasan: {0}''.format(response) Jika kode status 404 dilaporkan: "Error saat menjalankan tindakan "Jalankan Penelusuran Kustom". Alasan: {0}''.format(response) |
Umum |
| Repositori Kasus | Nama: Hasil | Umum |
Konektor
Humio - Konektor Acara
Deskripsi
Tarik informasi tentang peristiwa di repositori dari Humio.
Mengonfigurasi Humio - Events Connector di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | Nama Produk | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | event_field | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
| Nama Kolom Lingkungan | String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
| Pola Regex Lingkungan | String | .* | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 360 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | https://cloud.us.humio.com | Ya | Root API instance Humio. |
| Token API | Sandi | T/A | Tidak | Token API instance Humio. |
| Nama Repositori | String | T/A | Ya | Nama repositori dari hasil akan diambil. |
| Kueri | String | T/A | Tidak | Kueri untuk acara. Catatan: Fungsi select() dan head() tidak boleh ditambahkan di sini. |
| Nama Kolom Pemberitahuan | String | T/A | Tidak | Nama kunci yang harus digunakan untuk Nama Pemberitahuan. Jika tidak ada atau nilai tidak valid yang diberikan, konektor akan menggunakan "Pemberitahuan Humio" sebagai penggantian. |
| Nama Kolom Tingkat Keparahan | CSV | T/A | Ya | Daftar kunci yang dipisahkan koma yang harus digunakan untuk pemetaan tingkat keparahan. Catatan: jika kunci berisi nilai "string", kunci tersebut harus dipetakan dengan "Severity Mapping JSON". Jika kunci tidak valid diberikan, "Default" dari parameter "Severity Mapping JSON" akan digunakan. |
| JSON Pemetaan Tingkat Keparahan | JSON | { "fieldName": { "value_1": 100, "value_2": 75, "value_3": -1 }, "Default": 50 } |
Ya | Objek JSON yang berisi semua kunci dengan nilai string yang dipetakan. Catatan: Kunci "Default" wajib diisi. |
| Maks. Jam Mundur | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat pengambilan peristiwa. |
| Jumlah Maksimum Peristiwa yang Akan Diambil | Bilangan bulat | 20 | Tidak | Jumlah peristiwa yang akan diproses per satu iterasi konektor. |
| Menggunakan daftar yang diizinkan sebagai daftar blokir | Kotak centang | Dicentang | Ya | Jika diaktifkan, daftar yang diizinkan akan digunakan sebagai daftar yang diblokir. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke Humio valid. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
Aturan Konektor
Dukungan Proxy
Konektor mendukung proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.