此页面由 Cloud Translation API 翻译。

Humio

集成版本：5.0

在 Google Security Operations 中配置 Humio 集成

有关如何在 Google SecOps 中配置集成的详细说明，请参阅配置集成。

集成参数

使用以下参数配置集成：

参数显示名称	类型	默认值	是否为必需属性	说明
API 根	字符串	https://cloud.us.humio.com	是	Humio 实例的 API 根。
API 令牌	密码	不适用	是	Humio 实例的 API 令牌。
验证 SSL	复选框	勾选	是	如果启用，则验证与 Humio 服务器的连接的 SSL 证书是否有效。

使用场景

从代码库中提取事件
执行搜索

操作

Ping

说明

使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数，测试与 Humio 的连接。

参数

不适用

运行于

此操作不会在实体上运行，也没有强制性输入参数。

操作执行结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

案例墙

结果类型	值 / 说明	类型
输出消息*	操作不应失败，也不应停止 playbook 执行：如果成功：“Successfully connected to the Humio server with the provided connection parameters!” 操作应失败并停止 playbook 执行：如果不成功：“Failed to connect to the Humio server! 错误为 {0}".format(exception.stacktrace)	常规

结果类型

值 / 说明

类型

输出消息*

操作不应失败，也不应停止 playbook 执行：

如果成功：“Successfully connected to the Humio server with the provided connection parameters!”

操作应失败并停止 playbook 执行：

如果不成功：“Failed to connect to the Humio server! 错误为 {0}".format(exception.stacktrace)

常规

执行简单搜索

说明

根据 Humio 中的参数搜索事件。

参数

参数显示名称	类型	默认值	是否为必需属性	说明
代码库名称	字符串	不适用	是	指定应搜索的代码库的名称。
查询过滤条件	字符串	不适用	否	指定在搜索期间应执行的查询。注意：不应提供“head()”和“select()”函数。
时间范围	DDL	过去 1 小时可能的值：过去 1 小时过去 6 小时过去 24 小时上周上个月自定义	否	指定结果的时间范围。如果选择“自定义”，您还需要提供 “开始时间”参数。
开始时间	字符串	不适用	否	指定结果的开始时间。如果为“时间范围”参数选择“自定义”，则此参数是必需的。格式：ISO 8601
结束时间	字符串	不适用	否	指定结果的结束时间。格式：ISO 8601。如果未提供任何内容，并且为“时间范围”参数选择了“自定义”，则此参数会使用当前时间。
要返回的字段	CSV	不适用	否	指定要返回的字段。如果未提供任何内容，则该操作会返回所有字段。
排序字段	字符串	不适用	否	指定应使用哪个参数进行排序。默认情况下，查询会按时间戳升序对数据进行排序。
排序字段类型	DDL	字符串可能的值：字符串数字 Hex	否	指定用于排序的字段的类型。此参数是必需的，可确保返回正确的结果。
排序顺序	DDL	升序可能的值：升序降序	否	指定排序顺序。
要返回的结果数上限	整数	50	否	指定要返回的结果数。

运行于

此操作不会在实体上运行。

操作执行结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

[
  {
    "@timestamp": 1636028056292,
    "@rawstring": {
      "actor": {
        "ip": "31.43.227.151",
        "orgRoot": false,
        "organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
        "proxyRequest": false,
        "type": "orgUser",
        "user": {
          "id": "MgPXnBAKQ4gCg25hW5jKhYTo",
          "isRoot": false,
          "username": "dana@example.com"
        }
      },
      "method": "google",
      "sensitive": false,
      "timestamp": "2021-11-04T12:14:16.292Z",
      "type": "user.signin"
    },
    "@id": "gZPMhXMMcScGXHwxZ7bRH6Ns_88_264_1636028056"
  },
  {
    "@timestamp": 1636028057934,
    "@rawstring": {
      "actor": {
        "ip": "31.43.227.151",
        "orgRoot": false,
        "organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
        "proxyRequest": false,
        "type": "orgUser",
        "user": {
          "id": "MgPXnBAKQ4gCg25hW5jKhYTo",
          "isRoot": false,
          "username": "dana@example.com"
        }
      },
      "sensitive": false,
      "timestamp": "2021-11-04T12:14:17.934Z",
      "type": "notifications.user.create"
    },
    "@id": "lSLLg2gMDW8GwHtpZTGD8GU1_65_108_1636028057"
  }
]

案例墙

结果类型	值 / 说明	类型
结果类型	值/说明	类型
输出消息*	操作不应失败，也不应停止 playbook 执行：如果找到至少一个结果 (is_success=true)：“已成功返回 Humio 中针对查询 "{query}" 的结果。” 如果未找到任何结果 (is_succees=true)：“在 Humio 中未找到与查询‘{query}’相符的结果。” 操作应失败并停止 playbook 执行：如果出现致命错误，例如凭据错误、无法连接到服务器、其他错误：“Error executing action "Execute Simple Search"”（执行操作“执行简单搜索”时出错）。原因：{0}''.format(error.Stacktrace) 如果报告了 400 状态代码：“执行操作‘执行简单搜索’时出错。原因：{0}''.format(response) 如果报告了 404 状态代码，则表示“执行操作‘执行自定义搜索’时出错。原因：{0}''.format(response)	常规
案例墙	名称：结果	常规

结果类型

值 / 说明

类型

结果类型

值/说明

类型

输出消息*

操作不应失败，也不应停止 playbook 执行：

如果找到至少一个结果 (is_success=true)：“已成功返回 Humio 中针对查询 "{query}" 的结果。”

如果未找到任何结果 (is_succees=true)：“在 Humio 中未找到与查询‘{query}’相符的结果。”

操作应失败并停止 playbook 执行：

如果出现致命错误，例如凭据错误、无法连接到服务器、其他错误：“Error executing action "Execute Simple Search"”（执行操作“执行简单搜索”时出错）。原因：{0}''.format(error.Stacktrace)

如果报告了 400 状态代码：“执行操作‘执行简单搜索’时出错。原因：{0}''.format(response)

如果报告了 404 状态代码，则表示“执行操作‘执行自定义搜索’时出错。原因：{0}''.format(response)

常规

案例墙

名称：结果

常规

执行自定义搜索

说明

在 Humio 中使用自定义查询搜索活动。

参数

参数显示名称

类型

默认值

是否为必需属性

说明

代码库名称

字符串

不适用

是

指定应搜索的代码库的名称。

查询

字符串

不适用

是

指定需要在 Humio 中执行的查询。

注意：“head()”函数不应是此字符串的一部分。

要返回的结果数上限

整数

否

指定要返回的结果数。

运行于

此操作不会在实体上运行。

操作执行结果

脚本结果

脚本结果名称	值选项	示例
is_success	True/False	is_success:False

JSON 结果

[
  {
    "@timestamp": 1636028056292,
    "@rawstring": {
      "actor": {
        "ip": "31.43.227.151",
        "orgRoot": false,
        "organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
        "proxyRequest": false,
        "type": "orgUser",
        "user": {
          "id": "MgPXnBAKQ4gCg25hW5jKhYTo",
          "isRoot": false,
          "username": "dana@example.com"
        }
      },
      "method": "google",
      "sensitive": false,
      "timestamp": "2021-11-04T12:14:16.292Z",
      "type": "user.signin"
    },
    "@id": "gZPMhXMMcScGXHwxZ7bRH6Ns_88_264_1636028056"
  },
  {
    "@timestamp": 1636028057934,
    "@rawstring": {
      "actor": {
        "ip": "31.43.227.151",
        "orgRoot": false,
        "organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",

              "proxyRequest": false,
        "type": "orgUser",
        "user": {
          "id": "MgPXnBAKQ4gCg25hW5jKhYTo",
          "isRoot": false,
          "username": "dana@example.com"
        }
      },
      "sensitive": false,
      "timestamp": "2021-11-04T12:14:17.934Z",
      "type": "notifications.user.create"
    },
    "@id": "lSLLg2gMDW8GwHtpZTGD8GU1_65_108_1636028057"
  }
]

案例墙

结果类型	值 / 说明	类型
输出消息*	操作不应失败，也不应停止 playbook 执行：如果找到至少一个结果 (is_success=true)：“已成功返回 Humio 中针对查询‘{query}’的结果。” 如果未找到任何结果 (is_succees=true)：“在 Humio 中未找到与查询‘{query}’相符的结果” 操作应失败并停止 playbook 执行：如果报告了致命错误（例如凭据错误、无法连接到服务器、其他错误）：“Error executing action "Execute Custom Search"”（执行操作“执行自定义搜索”时出错）。原因：{0}''.format(error.Stacktrace) 如果报告了 400 状态代码：“执行操作“执行自定义搜索”时出错。原因：{0}''.format(response) 如果报告了 404 状态代码，则表示“执行操作‘执行自定义搜索’时出错。原因：{0}''.format(response)	常规
案例墙	名称：结果	常规

结果类型

值 / 说明

类型

输出消息*

操作不应失败，也不应停止 playbook 执行：

如果找到至少一个结果 (is_success=true)：“已成功返回 Humio 中针对查询‘{query}’的结果。”

如果未找到任何结果 (is_succees=true)：“在 Humio 中未找到与查询‘{query}’相符的结果”

操作应失败并停止 playbook 执行：

如果报告了致命错误（例如凭据错误、无法连接到服务器、其他错误）：“Error executing action "Execute Custom Search"”（执行操作“执行自定义搜索”时出错）。原因：{0}''.format(error.Stacktrace)

如果报告了 400 状态代码：“执行操作“执行自定义搜索”时出错。原因：{0}''.format(response)

如果报告了 404 状态代码，则表示“执行操作‘执行自定义搜索’时出错。原因：{0}''.format(response)

常规

案例墙

名称：结果

常规

连接器

Humio - 事件连接器

说明

从 Humio 拉取有关代码库中事件的信息。

在 Google SecOps 中配置 Humio - Events Connector

有关如何在 Google SecOps 中配置连接器的详细说明，请参阅配置连接器。

连接器参数

使用以下参数配置连接器：

参数显示名称	类型	默认值	是否为必需属性	说明
商品字段名称	字符串	产品名称	是	输入源字段名称，以便检索产品字段名称。
事件字段名称	字符串	event_field	是	输入源字段名称，以便检索事件字段名称。
环境字段名称	字符串	“”	否	描述存储环境名称的字段的名称。如果找不到环境字段，则环境为默认环境。
环境正则表达式模式	字符串	.*	否	要对“环境字段名称”字段中找到的值运行的正则表达式模式。默认值为 .*，用于捕获所有内容并返回未更改的值。用于允许用户通过正则表达式逻辑来操纵环境字段。如果正则表达式模式为 null 或空，或者环境值为 null，则最终环境结果为默认环境。
脚本超时（秒）	整数	360	是	运行当前脚本的 Python 进程的超时时间限制。
API 根	字符串	https://cloud.us.humio.com	是	Humio 实例的 API 根。
API 令牌	密码	不适用	否	Humio 实例的 API 令牌。
代码库名称	字符串	不适用	是	要从中获取结果的代码库的名称。
查询	字符串	不适用	否	查询相应事件。注意：不应在此处添加 select() 和 head() 函数。
提醒字段名称	字符串	不适用	否	应使用的键的名称（用于提醒名称）。如果未提供任何值或提供的值无效，连接器将使用“Humio Alert”作为回退。
严重程度字段名称	CSV	不适用	是	应使用的严重程度映射键的英文逗号分隔列表。注意：如果键包含“字符串”值，则应使用“严重程度映射 JSON”进行映射。如果提供的键无效，系统将使用“严重程度映射 JSON”参数中的“默认”值。
严重程度映射 JSON	JSON	{ "fieldName": { "value_1": 100, "value_2": 75, "value_3": -1 }, “默认”：50 }	是	包含所有具有映射字符串值的键的 JSON 对象。注意：“默认”键是必需的。
回溯的小时数上限	整数	1	否	提取事件的小时数。
要提取的事件数量上限	整数	20	否	每次连接器迭代要处理的事件数量。
将白名单用作黑名单	复选框	勾选	是	如果启用，白名单将用作黑名单。
验证 SSL	复选框	勾选	是	如果启用，则验证与 Humio 的连接的 SSL 证书是否有效。
代理服务器地址	字符串	不适用	否	要使用的代理服务器的地址。
代理用户名	字符串	不适用	否	用于进行身份验证的代理用户名。
代理密码	密码	不适用	否	用于进行身份验证的代理密码。

连接器规则

代理支持

连接器支持代理。