Humio
Versão da integração: 5.0
Configurar a integração do Humio no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://cloud.us.humio.com | Sim | Raiz da API da instância do Humio. |
| Token da API | Senha | N/A | Sim | Token de API da instância do Humio. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifique se o certificado SSL da conexão com o servidor Humio é válido. |
Casos de uso
- Realizar a ingestão dos eventos dos repositórios
- Fazer pesquisas
Ações
Ping
Descrição
Teste a conectividade com o Humio usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Parâmetros
N/A
Executar em
Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se tudo der certo: "A conexão com o servidor do Humio foi estabelecida usando os parâmetros fornecidos" A ação precisa falhar e interromper a execução de um playbook: Se não der certo: "Não foi possível se conectar ao servidor do Humio! O erro é {0}".format(exception.stacktrace) |
Geral |
Executar a pesquisa simples
Descrição
Pesquise eventos com base em parâmetros no Humio.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do repositório | String | N/A | Sim | Especifique o nome do repositório que deve ser pesquisado. |
| Filtro de consulta | String | N/A | Não | Especifique a consulta que será executada durante a pesquisa. Observação:as funções "head()" e "select()" não devem ser fornecidas. |
| Período | DDL | Última hora Valores possíveis:
|
Não | Especifique um período para os resultados. Se "Personalizado" estiver selecionado, você também precisará fornecer o parâmetro "Horário de início". |
| Horário de início | String | N/A | Não | Especifique o horário de início dos resultados. Esse parâmetro é obrigatório se "Personalizado" for selecionado para o parâmetro "Período". Formato: ISO 8601 |
| Horário de término | String | N/A | Não | Especifique o horário de término dos resultados. Formato: ISO 8601. Se nada for fornecido e "Personalizado" for selecionado para o parâmetro "Período", esse parâmetro usará a hora atual. |
| Campos a serem retornados | CSV | N/A | Não | Especifique os campos que serão retornados. Se nada for fornecido, a ação vai retornar todos os campos. |
| Campo de classificação | String | N/A | Não | Especifique qual parâmetro deve ser usado para a classificação. Por padrão, a consulta classifica os dados por carimbo de data/hora em ordem crescente. |
| Tipo de campo de classificação | DDL | String Valores possíveis:
|
Não | Especifique o tipo do campo usado para classificação. Esse parâmetro é necessário para garantir que os resultados corretos sejam retornados. |
| Ordem de classificação | DDL | ASC Valores possíveis:
|
Não | Especifique a ordem de classificação. |
| Número máximo de resultados a serem retornados | Número inteiro | 50 | Não | Especifique o número de resultados a serem retornados. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"@timestamp": 1636028056292,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"method": "google",
"sensitive": false,
"timestamp": "2021-11-04T12:14:16.292Z",
"type": "user.signin"
},
"@id": "gZPMhXMMcScGXHwxZ7bRH6Ns_88_264_1636028056"
},
{
"@timestamp": 1636028057934,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"sensitive": false,
"timestamp": "2021-11-04T12:14:17.934Z",
"type": "notifications.user.create"
},
"@id": "lSLLg2gMDW8GwHtpZTGD8GU1_65_108_1636028057"
}
]
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Tipo de resultado | Valor/descrição | Tipo |
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se pelo menos um resultado for encontrado (is_success=true): "Resultados retornados com sucesso para a consulta "{query}" no Humio." Se nenhum resultado for encontrado (is_succees=true): "Nenhum resultado foi encontrado para a consulta "{query}" no Humio." A ação precisa falhar e interromper a execução de um playbook: Se for um erro fatal, como credenciais incorretas, sem conexão com o servidor, outro: "Erro ao executar a ação "Executar pesquisa simples". Motivo: {0}''.format(error.Stacktrace) Se o código de status 400 for informado: "Erro ao executar a ação "Executar pesquisa simples". Motivo: {0}''.format(response) Se o código de status 404 for informado: "Erro ao executar a ação "Executar pesquisa personalizada". Motivo: {0}''.format(response) |
Geral |
| Painel de casos | Nome:Resultados | Geral |
Executar pesquisa personalizada
Descrição
Pesquise eventos usando uma consulta personalizada no Humio.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do repositório | String | N/A | Sim | Especifique o nome do repositório que deve ser pesquisado. |
| Consulta | String | N/A | Sim | Especifique a consulta que precisa ser executada no Humio. Observação:a função "head()" não deve fazer parte dessa string. |
| Número máximo de resultados a serem retornados | Número inteiro | 50 | Não | Especifique o número de resultados a serem retornados. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"@timestamp": 1636028056292,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"method": "google",
"sensitive": false,
"timestamp": "2021-11-04T12:14:16.292Z",
"type": "user.signin"
},
"@id": "gZPMhXMMcScGXHwxZ7bRH6Ns_88_264_1636028056"
},
{
"@timestamp": 1636028057934,
"@rawstring": {
"actor": {
"ip": "31.43.227.151",
"orgRoot": false,
"organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
"proxyRequest": false,
"type": "orgUser",
"user": {
"id": "MgPXnBAKQ4gCg25hW5jKhYTo",
"isRoot": false,
"username": "dana@example.com"
}
},
"sensitive": false,
"timestamp": "2021-11-04T12:14:17.934Z",
"type": "notifications.user.create"
},
"@id": "lSLLg2gMDW8GwHtpZTGD8GU1_65_108_1636028057"
}
]
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se pelo menos um resultado for encontrado (is_success=true): "Os resultados da consulta "{query}" foram retornados com sucesso no Humio." Se nenhum resultado for encontrado (is_succees=true): "Nenhum resultado foi encontrado para a consulta "{query}" no Humio" A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Executar Pesquisa personalizada". Motivo: {0}''.format(error.Stacktrace) Se o código de status 400 for informado: "Erro ao executar a ação "Executar pesquisa personalizada". Motivo: {0}''.format(response) Se o código de status 404 for informado: "Erro ao executar a ação "Executar pesquisa personalizada". Motivo: {0}''.format(response) |
Geral |
| Painel de casos | Nome:Resultados | Geral |
Conectores
Humio: conector de eventos
Descrição
Extrair informações sobre eventos no repositório do Humio.
Configurar o conector de eventos do Humio no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | event_field | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 360 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://cloud.us.humio.com | Sim | Raiz da API da instância do Humio. |
| Token da API | Senha | N/A | Não | Token de API da instância do Humio. |
| Nome do repositório | String | N/A | Sim | Nome do repositório de onde os resultados serão buscados. |
| Consulta | String | N/A | Não | Consulta para os eventos. Observação: as funções select() e head() não devem ser adicionadas aqui. |
| Nome do campo de alerta | String | N/A | Não | Nome da chave que deve ser usada para o nome do alerta. Se nada ou um valor inválido for fornecido, o conector vai usar "Alerta do Humio" como substituto. |
| Nome do campo de gravidade | CSV | N/A | Sim | Uma lista separada por vírgulas de chaves que devem ser usadas para mapear a gravidade. Observação: se a chave contiver valores "string", eles deverão ser mapeados com "JSON de mapeamento de gravidade". Se uma chave inválida for fornecida, o valor "Default" do parâmetro "Severity Mapping JSON" será usado. |
| JSON de mapeamento de gravidade | JSON | { "fieldName": { "value_1": 100, "value_2": 75, "value_3": -1 }, "Default": 50 } |
Sim | Objeto JSON que contém todas as chaves com valores de string mapeados. Observação: a chave "Default" é obrigatória. |
| Máximo de horas para trás | Número inteiro | 1 | Não | Número de horas de onde buscar eventos. |
| Número máximo de eventos a serem buscados | Número inteiro | 20 | Não | Quantos eventos processar por iteração de conector. |
| Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Selecionado | Sim | Se ativada, a lista de permissões será usada como uma lista de bloqueios. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifica se o certificado SSL da conexão com o Humio é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras de conector
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.