Humio
Versão de integração: 5.0
Configure a integração do Humio no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://cloud.us.humio.com | Sim | Raiz da API da instância do Humio. |
| Chave da API | Palavra-passe | N/A | Sim | Chave da API da instância do Humio. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativado, verifique se o certificado SSL para a ligação ao servidor Humio é válido. |
Exemplos de utilização
- Realize a carregamento dos eventos a partir de repositórios
- Fazer pesquisas
Ações
Tchim-tchim
Descrição
Teste a conetividade ao Humio com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Executar em
Esta ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação ao servidor Humio estabelecida com êxito com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: "Não foi possível estabelecer ligação ao servidor Humio! O erro é {0}".format(exception.stacktrace) |
Geral |
Executar pesquisa simples
Descrição
Pesquise eventos com base em parâmetros no Humio.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do repositório | String | N/A | Sim | Especifique o nome do repositório no qual deve ser feita a pesquisa. |
| Filtro de consulta | String | N/A | Não | Especifique a consulta que deve ser executada durante a pesquisa. Nota: não deve fornecer as funções "head()" e "select()". |
| Intervalo de tempo | LDD | Última hora Valores possíveis:
|
Não | Especifique um período para os resultados. Se a opção "Personalizado" estiver selecionada, também tem de indicar o parâmetro "Hora de início". |
| Hora de início | String | N/A | Não | Especifique a hora de início dos resultados. Este parâmetro é obrigatório se "Personalizado" estiver selecionado para o parâmetro "Intervalo de tempo". Formato: ISO 8601 |
| Hora de fim | String | N/A | Não | Especifique a hora de fim dos resultados. Formato: ISO 8601. Se não for fornecido nada e "Personalizado" for selecionado para o parâmetro "Intervalo de tempo", este parâmetro usa a hora atual. |
| Campos a devolver | CSV | N/A | Não | Especifique os campos a devolver. Se não for fornecido nada, a ação devolve todos os campos. |
| Campo de ordenação | String | N/A | Não | Especifique o parâmetro que deve ser usado para a ordenação. Por predefinição, a consulta ordena os dados por data/hora por ordem ascendente. |
| Tipo de campo de ordenação | LDD | String Valores possíveis:
|
Não | Especifique o tipo do campo usado para a ordenação. Este parâmetro é necessário para garantir que são devolvidos os resultados corretos. |
| Disposição da Ordenação | LDD | ASC Valores possíveis:
|
Não | Especifique a ordem de ordenação. |
| Máximo de resultados a devolver | Número inteiro | 50 | Não | Especifique o número de resultados a devolver. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"@timestamp": 1636028056292,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"method": "google",
"sensitive": false,
"timestamp": "2021-11-04T12:14:16.292Z",
"type": "user.signin"
},
"@id": "gZPMhXMMcScGXHwxZ7bRH6Ns_88_264_1636028056"
},
{
"@timestamp": 1636028057934,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"sensitive": false,
"timestamp": "2021-11-04T12:14:17.934Z",
"type": "notifications.user.create"
},
"@id": "lSLLg2gMDW8GwHtpZTGD8GU1_65_108_1636028057"
}
]
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Tipo de resultado | Valor/descrição | Tipo |
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: If found at least one result (is_success=true): "Successfully returned results for the query "{query}" in Humio." Se não forem encontrados resultados (is_succees=true): "Não foram encontrados resultados para a consulta "{query}" no Humio." A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, outro: "Erro ao executar a ação "Executar pesquisa simples". Motivo: {0}''.format(error.Stacktrace) Se for comunicado o código de estado 400: "Erro ao executar a ação "Executar pesquisa simples". Motivo: {0}''.format(response) Se for comunicado o código de estado 404: "Erro ao executar a ação "Executar pesquisa personalizada". Motivo: {0}''.format(response) |
Geral |
| Case Wall | Nome: resultados | Geral |
Executar pesquisa personalizada
Descrição
Pesquise eventos através de uma consulta personalizada no Humio.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do repositório | String | N/A | Sim | Especifique o nome do repositório no qual deve ser feita a pesquisa. |
| Consulta | String | N/A | Sim | Especifique a consulta que tem de ser executada no Humio. Nota: a função "head()" não deve fazer parte desta string. |
| Máximo de resultados a devolver | Número inteiro | 50 | Não | Especifique o número de resultados a devolver. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"@timestamp": 1636028056292,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"method": "google",
"sensitive": false,
"timestamp": "2021-11-04T12:14:16.292Z",
"type": "user.signin"
},
"@id": "gZPMhXMMcScGXHwxZ7bRH6Ns_88_264_1636028056"
},
{
"@timestamp": 1636028057934,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"sensitive": false,
"timestamp": "2021-11-04T12:14:17.934Z",
"type": "notifications.user.create"
},
"@id": "lSLLg2gMDW8GwHtpZTGD8GU1_65_108_1636028057"
}
]
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: If found at least one result (is_success=true): "Successfully returned results for the query "{query}" in Humio." Se não forem encontrados resultados (is_succees=true): "Não foram encontrados resultados para a consulta "{query}" no Humio" A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Executar pesquisa personalizada". Motivo: {0}''.format(error.Stacktrace) Se for comunicado o código de estado 400: "Erro ao executar a ação "Executar pesquisa personalizada". Motivo: {0}''.format(response) Se for comunicado o código de estado 404: "Erro ao executar a ação "Executar pesquisa personalizada". Motivo: {0}''.format(response) |
Geral |
| Case Wall | Nome: resultados | Geral |
Conetores
Humio - Events Connector
Descrição
Extrair informações sobre eventos no repositório do Humio.
Configure o conetor de eventos do Humio no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | event_field | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 360 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://cloud.us.humio.com | Sim | Raiz da API da instância do Humio. |
| Chave da API | Palavra-passe | N/A | Não | Chave da API da instância do Humio. |
| Nome do repositório | String | N/A | Sim | O nome do repositório a partir do qual os resultados vão ser obtidos. |
| Consulta | String | N/A | Não | Consultar os eventos. Nota: as funções select() e head() não devem ser adicionadas aqui. |
| Nome do campo de alerta | String | N/A | Não | Nome da chave que deve ser usada para o nome do alerta. Se não for indicado nenhum valor ou for indicado um valor inválido, o conector usa "Humio Alert" como alternativa. |
| Nome do campo de gravidade | CSV | N/A | Sim | Uma lista de chaves separadas por vírgulas que devem ser usadas para o mapeamento da gravidade. Nota: se a chave contiver valores "string", estes devem ser mapeados com "JSON de mapeamento de gravidade". Se for fornecida uma chave inválida, é usado o valor "Predefinição" do parâmetro "JSON de mapeamento de gravidade". |
| JSON de mapeamento de gravidade | JSON | { "fieldName": { "value_1": 100, "value_2": 75, "value_3": -1 }, "Default": 50 } |
Sim | Objeto JSON que contém todas as chaves com valores de string mapeados. Nota: a chave "Default" é obrigatória. |
| Máximo de horas para trás | Número inteiro | 1 | Não | Quantidade de horas a partir das quais obter eventos. |
| Máximo de eventos a obter | Número inteiro | 20 | Não | O número de eventos a processar por iteração de um conetor. |
| Use a lista de autorizações como uma lista negra | Caixa de verificação | Marcado | Sim | Se estiver ativada, a lista de autorizações é usada como uma lista negra. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, verifica se o certificado SSL para a ligação ao Humio é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras do conetor
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.