Humio
統合バージョン: 5.0
Google Security Operations で Humio の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | https://cloud.us.humio.com | はい | Humio インスタンスの API ルート。 |
| API トークン | パスワード | なし | はい | Humio インスタンスの API トークン。 |
| SSL を確認する | チェックボックス | オン | はい | 有効になっている場合は、Humio サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
ユースケース
- リポジトリからイベントの取り込みを実行する
- 検索を実行する
操作
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Humio への接続をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「指定された接続パラメータを使用して Humio サーバーに正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 成功しなかった場合:「Humio サーバーへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace) |
全般 |
Execute Simple Search
説明
Humio のパラメータに基づいてイベントを検索します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| リポジトリ名 | 文字列 | なし | はい | 検索するリポジトリの名前を指定します。 |
| クエリフィルタ | 文字列 | なし | いいえ | 検索中に実行するクエリを指定します。 注: 「head()」関数と「select()」関数は提供しないでください。 |
| 期間 | DDL | Last Hour 有効な値:
|
いいえ | 結果の期間を指定します。 「カスタム」を選択した場合は、「開始時刻」パラメータも指定する必要があります。 |
| 開始時刻 | 文字列 | なし | いいえ | 結果の開始時刻を指定します。 [期間] パラメータに [カスタム] が選択されている場合、このパラメータは必須です。 形式: ISO 8601 |
| 終了時刻 | 文字列 | なし | いいえ | 結果の終了時刻を指定します。 形式: ISO 8601。 何も指定されず、「期間」パラメータで「カスタム」が選択されている場合、このパラメータでは現在の時刻が使用されます。 |
| 返されるフィールド | CSV | なし | いいえ | 返すフィールドを指定します。 何も指定しないと、アクションですべてのフィールドが返されます。 |
| フィールドの並べ替え | 文字列 | なし | いいえ | 並べ替えに使用するパラメータを指定します。 デフォルトでは、クエリはタイムスタンプでデータを昇順に並べ替えます。 |
| 並べ替えフィールドのタイプ | DDL | 文字列 有効な値:
|
いいえ | 並べ替えに使用するフィールドの型を指定します。 このパラメータは、正しい結果が返されるようにするために必要です。 |
| 並べ替え順序 | DDL | 昇順 有効な値:
|
いいえ | 並べ替えの順序を指定します。 |
| 返される結果の最大数 | 整数 | 50 | いいえ | 返す結果の数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"@timestamp": 1636028056292,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"method": "google",
"sensitive": false,
"timestamp": "2021-11-04T12:14:16.292Z",
"type": "user.signin"
},
"@id": "gZPMhXMMcScGXHwxZ7bRH6Ns_88_264_1636028056"
},
{
"@timestamp": 1636028057934,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"sensitive": false,
"timestamp": "2021-11-04T12:14:17.934Z",
"type": "notifications.user.create"
},
"@id": "lSLLg2gMDW8GwHtpZTGD8GU1_65_108_1636028057"
}
]
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 結果のタイプ | 値 / 説明 | タイプ |
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 少なくとも 1 つの結果が見つかった場合(is_success=true): 「Humio でクエリ「{query}」の結果が正常に返されました。」 結果が見つからない場合(is_succees=true): 「Humio でクエリ「{query}」の結果が見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「単純な検索の実行」の実行エラー。理由: {0}」.format(error.Stacktrace) 400 ステータス コードが報告された場合: 「アクション「シンプル検索を実行」の実行エラー。理由: {0}」.format(response) 404 ステータス コードが報告された場合: 「アクション「カスタム検索を実行」の実行エラー。理由: {0}」.format(response) |
全般 |
| ケースウォール | 名前: 結果 | 全般 |
カスタム検索を実行する
説明
Humio でカスタムクエリを使用してイベントを検索します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| リポジトリ名 | 文字列 | なし | はい | 検索するリポジトリの名前を指定します。 |
| クエリ | 文字列 | なし | はい | Humio で実行する必要があるクエリを指定します。 注: 「head()」関数はこの文字列の一部にしないでください。 |
| 返される結果の最大数 | 整数 | 50 | いいえ | 返す結果の数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"@timestamp": 1636028056292,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"method": "google",
"sensitive": false,
"timestamp": "2021-11-04T12:14:16.292Z",
"type": "user.signin"
},
"@id": "gZPMhXMMcScGXHwxZ7bRH6Ns_88_264_1636028056"
},
{
"@timestamp": 1636028057934,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"sensitive": false,
"timestamp": "2021-11-04T12:14:17.934Z",
"type": "notifications.user.create"
},
"@id": "lSLLg2gMDW8GwHtpZTGD8GU1_65_108_1636028057"
}
]
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 少なくとも 1 つの結果が見つかった場合(is_success=true): 「Humio でクエリ「{query}」の結果が正常に返されました。」 結果が見つからない場合(is_succees=true): 「Humio でクエリ「{query}」の結果が見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「カスタム検索の実行」の実行エラー。理由: {0}」.format(error.Stacktrace) 400 ステータス コードが報告された場合: 「アクション「カスタム検索を実行」の実行エラー。理由: {0}」.format(response) 404 ステータス コードが報告された場合: 「アクション「カスタム検索を実行」の実行エラー。理由: {0}」.format(response) |
全般 |
| ケースウォール | 名前: 結果 | 全般 |
コネクタ
Humio - イベント コネクタ
説明
リポジトリ内のイベントに関する情報を Humio から pull します。
Google SecOps で Humio - Events Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | event_field | はい | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | Integer | 360 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://cloud.us.humio.com | はい | Humio インスタンスの API ルート。 |
| API トークン | パスワード | なし | いいえ | Humio インスタンスの API トークン。 |
| リポジトリ名 | 文字列 | なし | はい | 結果の取得元となるリポジトリの名前。 |
| クエリ | 文字列 | なし | いいえ | イベントのクエリを実行します。注: ここに select() 関数と head() 関数を追加しないでください。 |
| アラートのフィールド名 | 文字列 | なし | いいえ | アラート名に使用するキーの名前。何も指定されていない場合や無効な値が指定された場合、コネクタはフォールバックとして「Humio Alert」を使用します。 |
| 重大度フィールド名 | CSV | なし | はい | 重大度のマッピングに使用するキーのカンマ区切りリスト。注: キーに「string」値が含まれている場合は、「Severity Mapping JSON」でマッピングする必要があります。無効なキーが指定された場合は、「Severity Mapping JSON」パラメータの「Default」が使用されます。 |
| 重大度マッピング JSON | JSON | { "fieldName": { "value_1": 100, "value_2": 75, "value_3": -1 }, "Default": 50 } |
はい | マッピングされた文字列値を持つすべてのキーを含む JSON オブジェクト。注: 「Default」キーは必須です。 |
| 最大遡及時間 | 整数 | 1 | いいえ | どの時点からイベントを取得するかの時間数。 |
| 取得する最大イベント数 | Integer | 20 | いいえ | 1 回のコネクタのイテレーションで処理するイベントの数。 |
| 許可リストを拒否リストとして使用する | チェックボックス | オン | はい | 有効にすると、許可リストが拒否リストとして使用されます。 |
| SSL を確認 | チェックボックス | オン | はい | 有効になっている場合は、Humio への接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタ ルール
プロキシのサポート
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。