本頁面由 Cloud Translation API 翻譯而成。

Humio

整合版本：5.0

在 Google Security Operations 中設定 Humio 整合

如需在 Google SecOps 中設定整合功能的詳細操作說明，請參閱「設定整合功能」。

整合參數

請使用下列參數設定整合：

參數顯示名稱	類型	預設值	為必填項目	說明
API 根層級	字串	https://cloud.us.humio.com	是	Humio 執行個體的 API 根目錄。
API 權杖	密碼	不適用	是	Humio 執行個體的 API 權杖。
驗證 SSL	核取方塊	已勾選	是	如果啟用，請確認連線至 Humio 伺服器的 SSL 憑證有效。

應用實例

從存放區擷取事件
執行搜尋

動作

乒乓

說明

在 Google Security Operations Marketplace 分頁的整合設定頁面中，使用提供的參數測試與 Humio 的連線。

參數

不適用

執行時間

這項動作不會在實體上執行，也沒有強制輸入參數。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項	範例
is_success	True/False	is_success:False

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果成功：「Successfully connected to the Humio server with the provided connection parameters!」(已使用提供的連線參數成功連線至 Humio 伺服器！) 動作應會失敗並停止執行應對手冊：如果未成功：「Failed to connect to the Humio server! Error is {0}".format(exception.stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果成功：「Successfully connected to the Humio server with the provided connection parameters!」(已使用提供的連線參數成功連線至 Humio 伺服器！)

動作應會失敗並停止執行應對手冊：

如果未成功：「Failed to connect to the Humio server! Error is {0}".format(exception.stacktrace)

一般

執行簡易搜尋

說明

根據 Humio 中的參數搜尋事件。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
存放區名稱	字串	不適用	是	指定要搜尋的存放區名稱。
查詢篩選器	字串	不適用	否	指定搜尋期間應執行的查詢。注意：請勿提供「head()」和「select()」函式。
時間範圍	DDL	過去 1 小時可能的值：過去 1 小時過去 6 小時內最近 24 小時上週上個月自訂	否	指定結果的時間範圍。如果選取「自訂」，您也需要提供「開始時間」參數。
開始時間	字串	不適用	否	指定結果的開始時間。如果為「時間範圍」參數選取「自訂」，則必須提供這個參數。格式：ISO 8601
結束時間	字串	不適用	否	指定結果的結束時間。格式：ISO 8601。如果未提供任何值，且「時間範圍」參數選取「自訂」，則這個參數會使用目前時間。
要傳回的欄位	CSV	不適用	否	指定要傳回的欄位。如未提供任何內容，動作會傳回所有欄位。
排序欄位	字串	不適用	否	指定要用於排序的參數。根據預設，查詢會依時間戳記遞增排序資料。
排序欄位類型	DDL	字串可能的值：字串數字十六進位	否	指定用於排序的欄位類型。這項參數可確保系統傳回正確結果。
排序順序	DDL	遞增可能的值：遞增遞減	否	指定排序順序。
要傳回的結果數量上限	整數	50	否	指定要傳回的結果數。

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項	範例
is_success	True/False	is_success:False

JSON 結果

[
  {
    "@timestamp": 1636028056292,
    "@rawstring": {
      "actor": {
        "ip": "31.43.227.151",
        "orgRoot": false,
        "organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
        "proxyRequest": false,
        "type": "orgUser",
        "user": {
          "id": "MgPXnBAKQ4gCg25hW5jKhYTo",
          "isRoot": false,
          "username": "dana@example.com"
        }
      },
      "method": "google",
      "sensitive": false,
      "timestamp": "2021-11-04T12:14:16.292Z",
      "type": "user.signin"
    },
    "@id": "gZPMhXMMcScGXHwxZ7bRH6Ns_88_264_1636028056"
  },
  {
    "@timestamp": 1636028057934,
    "@rawstring": {
      "actor": {
        "ip": "31.43.227.151",
        "orgRoot": false,
        "organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
        "proxyRequest": false,
        "type": "orgUser",
        "user": {
          "id": "MgPXnBAKQ4gCg25hW5jKhYTo",
          "isRoot": false,
          "username": "dana@example.com"
        }
      },
      "sensitive": false,
      "timestamp": "2021-11-04T12:14:17.934Z",
      "type": "notifications.user.create"
    },
    "@id": "lSLLg2gMDW8GwHtpZTGD8GU1_65_108_1636028057"
  }
]

案件總覽

結果類型	值 / 說明	類型
結果類型	值/說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果找到至少一個結果 (is_success=true)：「Successfully returned results for the query "{query}" in Humio.」如果找不到任何結果 (is_succees=true)：「在 Humio 中找不到與查詢『{query}』相符的結果。」動作應會失敗並停止執行應對手冊：如果發生重大錯誤，例如認證錯誤、無法連線至伺服器或其他問題：「Error executing action "Execute Simple Search". 原因：{0}''.format(error.Stacktrace) 如果系統回報 400 狀態碼：「Error executing action "Execute Simple Search". 原因：{0}''.format(response) 如果系統回報 404 狀態碼：「Error executing action "Execute Custom Search". 原因：{0}''.format(response)	一般
案件總覽	名稱：結果	一般

結果類型

值 / 說明

類型

結果類型

值/說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果找到至少一個結果 (is_success=true)：「Successfully returned results for the query "{query}" in Humio.」

如果找不到任何結果 (is_succees=true)：「在 Humio 中找不到與查詢『{query}』相符的結果。」

動作應會失敗並停止執行應對手冊：

如果發生重大錯誤，例如認證錯誤、無法連線至伺服器或其他問題：「Error executing action "Execute Simple Search". 原因：{0}''.format(error.Stacktrace)

如果系統回報 400 狀態碼：「Error executing action "Execute Simple Search". 原因：{0}''.format(response)

如果系統回報 404 狀態碼：「Error executing action "Execute Custom Search". 原因：{0}''.format(response)

一般

案件總覽

名稱：結果

一般

執行自訂搜尋

說明

在 Humio 中使用自訂查詢搜尋事件。

參數

參數顯示名稱

類型

預設值

為必填項目

說明

存放區名稱

字串

不適用

是

指定要搜尋的存放區名稱。

查詢

字串

不適用

是

指定要在 Humio 中執行的查詢。

注意：「head()」函式不應是這個字串的一部分。

要傳回的結果數量上限

整數

否

指定要傳回的結果數。

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項	範例
is_success	True/False	is_success:False

JSON 結果

[
  {
    "@timestamp": 1636028056292,
    "@rawstring": {
      "actor": {
        "ip": "31.43.227.151",
        "orgRoot": false,
        "organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",
        "proxyRequest": false,
        "type": "orgUser",
        "user": {
          "id": "MgPXnBAKQ4gCg25hW5jKhYTo",
          "isRoot": false,
          "username": "dana@example.com"
        }
      },
      "method": "google",
      "sensitive": false,
      "timestamp": "2021-11-04T12:14:16.292Z",
      "type": "user.signin"
    },
    "@id": "gZPMhXMMcScGXHwxZ7bRH6Ns_88_264_1636028056"
  },
  {
    "@timestamp": 1636028057934,
    "@rawstring": {
      "actor": {
        "ip": "31.43.227.151",
        "orgRoot": false,
        "organizationId": "z4ApqmrB7XbvsQB5E1muelI4WAKz4buZ",

              "proxyRequest": false,
        "type": "orgUser",
        "user": {
          "id": "MgPXnBAKQ4gCg25hW5jKhYTo",
          "isRoot": false,
          "username": "dana@example.com"
        }
      },
      "sensitive": false,
      "timestamp": "2021-11-04T12:14:17.934Z",
      "type": "notifications.user.create"
    },
    "@id": "lSLLg2gMDW8GwHtpZTGD8GU1_65_108_1636028057"
  }
]

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止執行應對手冊：如果找到至少一個結果 (is_success=true)：「Successfully returned results for the query "{query}" in Humio.」如果找不到任何結果 (is_succees=true)：「在 Humio 中找不到與查詢『{query}』相符的結果」動作應會失敗並停止執行應對手冊：如果系統回報嚴重錯誤，例如認證錯誤、無法連線至伺服器或其他錯誤：「執行動作『執行自訂搜尋』時發生錯誤。原因：{0}''.format(error.Stacktrace) 如果系統回報 400 狀態碼：「Error executing action "Execute Custom Search". 原因：{0}''.format(response) 如果系統回報 404 狀態碼：「Error executing action "Execute Custom Search". 原因：{0}''.format(response)	一般
案件總覽	名稱：結果	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止執行應對手冊：

如果找到至少一個結果 (is_success=true)：「Successfully returned results for the query "{query}" in Humio.」

如果找不到任何結果 (is_succees=true)：「在 Humio 中找不到與查詢『{query}』相符的結果」

動作應會失敗並停止執行應對手冊：

如果系統回報嚴重錯誤，例如認證錯誤、無法連線至伺服器或其他錯誤：「執行動作『執行自訂搜尋』時發生錯誤。原因：{0}''.format(error.Stacktrace)

如果系統回報 400 狀態碼：「Error executing action "Execute Custom Search". 原因：{0}''.format(response)

如果系統回報 404 狀態碼：「Error executing action "Execute Custom Search". 原因：{0}''.format(response)

一般

案件總覽

名稱：結果

一般

連接器

Humio - Events Connector

說明

從 Humio 提取存放區中事件的相關資訊。

在 Google SecOps 中設定 Humio - Events Connector

如需在 Google SecOps 中設定連接器的詳細操作說明，請參閱設定連接器。

連接器參數

請使用下列參數設定連接器：

參數顯示名稱	類型	預設值	為必填項目	說明
產品欄位名稱	字串	產品名稱	是	輸入來源欄位名稱，即可擷取產品欄位名稱。
事件欄位名稱	字串	event_field	是	輸入來源欄位名稱，即可擷取事件欄位名稱。
環境欄位名稱	字串	""	否	說明儲存環境名稱的欄位名稱。如果找不到環境欄位，環境就是預設環境。
環境規則運算式模式	字串	.*	否	要對「環境欄位名稱」欄位中的值執行的 regex 模式。預設值為 .*，可擷取所有內容並傳回未變更的值。用於允許使用者透過規則運算式邏輯操控環境欄位。如果 regex 模式為空值或空白，或環境值為空值，最終環境結果就是預設環境。
指令碼逾時 (秒)	整數	360	是	執行目前指令碼的 Python 程序逾時限制。
API 根層級	字串	https://cloud.us.humio.com	是	Humio 執行個體的 API 根目錄。
API 權杖	密碼	不適用	否	Humio 執行個體的 API 權杖。
存放區名稱	字串	不適用	是	系統會從結果中擷取存放區名稱。
查詢	字串	不適用	否	查詢活動。注意：這裡不應新增 select() 和 head() 函式。
快訊欄位名稱	字串	不適用	否	應做為快訊名稱的金鑰名稱。如果未提供任何值或提供的值無效，連接器會使用「Humio Alert」做為備用值。
嚴重性欄位名稱	CSV	不適用	是	以半形逗號分隔的鍵清單，用於對應嚴重程度。注意：如果鍵包含「字串」值，則應使用「嚴重程度對應 JSON」進行對應。如果提供的索引鍵無效，系統會使用「嚴重程度對應 JSON」參數中的「預設」值。
嚴重程度對應 JSON	JSON	{ "fieldName": { "value_1": 100, "value_2": 75, "value_3": -1 }, 「Default」：50 }	是	JSON 物件，內含所有鍵和對應的字串值。注意：「Default」鍵為必填。
可倒轉的小時數上限	整數	1	否	要擷取事件的小時數。
要擷取的事件數量上限	整數	20	否	每個連接器疊代要處理的事件數。
將許可清單當做封鎖清單使用	核取方塊	已勾選	是	啟用後，系統會將允許清單視為封鎖清單。
驗證 SSL	核取方塊	已勾選	是	如果啟用，系統會驗證連線至 Humio 的 SSL 憑證是否有效。
Proxy 伺服器位址	字串	不適用	否	要使用的 Proxy 伺服器位址。
Proxy 使用者名稱	字串	不適用	否	用於驗證的 Proxy 使用者名稱。
Proxy 密碼	密碼	不適用	否	用於驗證的 Proxy 密碼。

連接器規則

Proxy 支援

連接器支援 Proxy。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。