Logpoint
Integrationsversion: 16.0
Anwendungsbereiche
Aktive Aktionen ausführen: Führen Sie Abfragen aus, um weitere Informationen zu den Einheiten zu erhalten.
Logpoint-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| IP-Adresse | String | https://x.x.x.x | Ja | IP-Adresse der Logpoint-Instanz. |
| Nutzername | String | – | Ja | Nutzername des Logpoint-Kontos. |
| Secret | Passwort | – | Ja | Secret des API-Schlüssels des Logpoint-Kontos |
| CA-Zertifikatsdatei | String | – | Nein | Base64-codierte CA-Zertifikatsdatei. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Logpoint-Server gültig ist. |
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zum Logpoint mit den Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Die Aktion wird nicht für Entitäten ausgeführt und hat keine erforderlichen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen. Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
Abfrage ausführen
Beschreibung
Führen Sie eine Suchanfrage in Logpoint aus.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Abfrage | String | – | Ja | Geben Sie die Abfrage an, die in Logpoint ausgeführt werden muss. |
| Zeitraum | DDL | Letzte 24 Stunden Mögliche Werte: Letzte 12 Stunden Letzte 24 Stunden Letzte 30 Tage Letzte 365 Tage Benutzerdefiniert |
Ja | Geben Sie den Zeitraum für die Abfrage an. Wenn „Benutzerdefiniert“ ausgewählt ist, müssen Sie auch eine Start- und Endzeit angeben. |
| Beginn | String | – | Nein | Geben Sie die Startzeit für die Abfrage an. Format: JJJJ-MM-TTThh:mm:ssZ oder Zeitstempel. |
| Ende | String | – | Nein | Geben Sie die Endzeit für die Abfrage an.Format: JJJJ-MM-TTThh:mm:ssZ oder Zeitstempel. Wenn nichts angegeben wird, wird die aktuelle Zeit als Endzeit verwendet. |
| Repos | CSV | – | Nein | Geben Sie eine durch Kommas getrennte Liste mit den Namen der Repos an. Wenn nichts angegeben ist, wird in allen Repositorys gesucht. |
| Maximale Anzahl zurückzugebender Ergebnisse | Ganzzahl | 100 | Nein | Geben Sie an, wie viele Ergebnisse zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"query_type": "simple",
"rows": [
{
"msg": "2021-01-10 10:27:50 Benchmarker; reporting speed; service=norm_front; actual_mps=1; doable_mps=19096;",
"log_ts": 1610274470,
"actual_mps": "1",
"doable_mps": "19096",
"_type_str": "_tz device_name msg source_name col_type object norm_id service collected_at label device_ip
_enrich_policy action _fromV550 repo_name logpoint_name",
"device_name": "localhost",
"_offset": 48317,
"logpoint_name": "Logpoint",
"action": "reporting speed",
"repo_name": "_logpoint",
"source_name": "/opt/immune/var/log/benchmarker/norm_front.log",
"col_ts": 1610274470,
"_tz": "UTC",
"norm_id": "Logpoint",
"_identifier": "0",
"collected_at": "Logpoint",
"device_ip": "127.0.0.1",
"service": "norm_front",
"_fromV550": "t",
"_enrich_policy": "None",
"_type_num": "actual_mps doable_mps col_ts sig_id log_ts _offset _identifier",
"_type_ip": "device_ip",
"sig_id": "10505",
"col_type": "filesystem",
"object": "Benchmarker",
"_labels": [
"Logpoint",
"Benchmarker"
]
}
],
"version": 6,
"extracted_terms": [],
"time_range": [
1609496280,
1610274480
],
"orig_search_id": "9acac4a0-e530-4a19-a446-e17d4d9f8aae",
"success": true,
"final": true,
"totalPages": 1,
"estim_count": 185003,
"complete": true,
"status": {
"Logpoint": {
"default": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 3,
"final": true
},
"_logpoint": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 185000,
"final": true
},
"LogSource1": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
},
"_LogpointAlerts": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
}
}
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen. Wenn „success“ für alle Anfragen „true“ ist, aber keine Ergebnisse zurückgegeben werden („is_success“ = „false“): „Für die angegebene Abfrage wurden keine Daten gefunden.“ Wenn „success“ für mindestens eine Anfrage „false“ ist (is_success = false): „Die Aktion konnte die Anfrage nicht erfolgreich ausführen und Ergebnisse von Logpoint abrufen. Grund: {0}".format(message) Asynchrone Nachricht „Warten auf den Abschluss der Verarbeitung der Anfrage in Logpoint.“ Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Bei Zeitüberschreitung: Fehler beim Ausführen der Aktion „Abfrage ausführen“. Grund: Bei der Aktion ist eine Zeitüberschreitung aufgetreten. Bitte schränken Sie den Zeitraum ein oder verringern Sie die Anzahl der zurückzugebenden Ergebnisse. Wenn mindestens ein Repository nicht gefunden wird: „Fehler beim Ausführen der Aktion ‚Abfrage ausführen‘. Grund: Die folgenden Repos wurden in Logpoint nicht gefunden: {0}. Achten Sie darauf, dass alle Repositories verfügbar sind.“{comma-separated list of repos that were not found} Wenn „Benutzerdefiniert“ ausgewählt ist, aber keine „Startzeit“ angegeben wurde: „Fehler beim Ausführen der Aktion ‚Abfrage ausführen‘. Grund: Sie müssen „Beginn“ angeben, wenn für den Zeitraum „Benutzerdefiniert“ ausgewählt ist.“ |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellenname: „Results“ |
Allgemein |
Entitätsabfrage ausführen
Beschreibung
Führen Sie die Abfrage in Logpoint basierend auf den Entitäten aus. Derzeit unterstützte Entitätstypen: Nutzer, IP-Adresse, E-Mail-Adresse, URL, Datei-Hash, Hostname. Hinweis: „E-Mail-Adresse“ ist eine Nutzerentität, die dem Format einer E-Mail-Adresse entspricht.
Mit Aktionsparametern arbeiten
Mit dieser Aktion können Sie ganz einfach Informationen zu Entitäten abrufen. So können Sie beispielsweise den Anwendungsfall lösen, in dem Sie die Anzahl der Logs der von dem bereitgestellten Hash betroffenen Endpunkte sehen möchten, ohne eine komplizierte Abfrage erstellen zu müssen.
Um dieses Problem im Logpoint zu beheben, müssen Sie die folgende Abfrage vorbereiten: ("device_ip"="10.0.0.1" or "device_ip"="10.0.0.2") and
("hash"="7694f4a66316e53c8cdd9d9954bd611d" or
"hash"="8264ee52f589f4c0191aa94f87aa1aeb") | chart count() by device_ip
Wenn Sie dieselbe Abfrage mit der Aktion „Entitätsabfrage ausführen“ erstellen möchten, müssen Sie die Aktionsparameter so ausfüllen:
| Abfrage | | chart count() by device_ip |
|---|---|
| IP-Entitätsschlüssel | device_ip |
| Entitätsschlüssel für Datei-Hash | Hash |
| Cross-Entity-Operator | UND |
Alle anderen Felder können leer gelassen werden.
Wenn Sie sehen möchten, wie viele Endpunkte von den angegebenen Hashes betroffen waren, sieht die Konfiguration von „Execute Entity Query“ so aus:
| Abfrage | | chart count() by device_ip |
|---|---|
| Entitätsschlüssel für Datei-Hash | Hash |
„Cross Entity Operator“ hat in dieser Situation keine Auswirkungen, da er sich nur auf die Abfrage auswirkt, wenn mehrere „Entity Keys“ angegeben werden.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Abfrage | String | Ja | Geben Sie die Abfrage an, die ausgeführt werden muss. Weitere Informationen finden Sie in der Dokumentation zur Aktion. | |
| Zeitraum | DDL | Letzte 24 Stunden Mögliche Werte: Letzte 12 Stunden Letzte 24 Stunden Letzte 30 Tage Letzte 365 Tage Benutzerdefiniert |
Ja | Geben Sie den Zeitraum für die Abfrage an. Wenn „Benutzerdefiniert“ ausgewählt ist, müssen Sie auch eine Startzeit angeben. Für die Endzeit wird standardmäßig die aktuelle Zeit verwendet. |
| Beginn | String | Nein | Geben Sie die Startzeit für die Abfrage an. Format: JJJJ-MM-TTThh:mm:ssZ oder Zeitstempel. |
|
| Ende | String | Nein | Geben Sie die Endzeit für die Abfrage an.Format: JJJJ-MM-TTThh:mm:ssZ oder Zeitstempel. Wenn nichts angegeben wird, wird die aktuelle Zeit als Endzeit verwendet. |
|
| Repos | CSV | Nein | Geben Sie eine durch Kommas getrennte Liste mit den Namen der Repos an. Wenn nichts angegeben ist, wird in allen Repositorys gesucht. | |
| IP-Entitätsschlüssel | String | Nein | Geben Sie an, welcher Schlüssel für IP-Entitäten verwendet werden soll. Weitere Informationen finden Sie in der Dokumentation zur Aktion. | |
| Entitätsschlüssel für Hostname | String | Nein | Geben Sie an, welcher Schlüssel für Hostname-Entitäten verwendet werden soll, wenn Sie die Datei vorbereiten . Weitere Informationen finden Sie in der Dokumentation zur Aktion. | |
| Entitätsschlüssel für Datei-Hash | Nein | Geben Sie an, welcher Schlüssel für File Hash-Entitäten verwendet werden soll. Weitere Informationen finden Sie in der Dokumentation zur Aktion. | ||
| Schlüssel der Nutzerentität | Nein | Geben Sie an, welcher Schlüssel für Nutzerentitäten verwendet werden soll. Weitere Informationen finden Sie in der Dokumentation zur Aktion. | ||
| URL-Entitätsschlüssel | Nein | Geben Sie an, welcher Schlüssel für URL-Entitäten verwendet werden soll. Weitere Informationen finden Sie in der Dokumentation zur Aktion. | ||
| Entitätsschlüssel für E-Mail-Adresse | Nein | Geben Sie an, welcher Schlüssel für E-Mail-Adressen verwendet werden soll. Weitere Informationen finden Sie in der Dokumentation zur Aktion. | ||
| Stoppen, wenn nicht genügend Einheiten vorhanden sind | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird die Ausführung der Aktion erst gestartet, wenn alle Entitätstypen für die angegebenen „.. Entity Keys“ verfügbar sind. Beispiel: Wenn „IP Entity Key“ und „File Hash Entity Key“ angegeben sind, im Bereich aber keine Dateihashes vorhanden sind, wird die Abfrage nicht ausgeführt, wenn dieser Parameter aktiviert ist. |
| Cross-Entity-Operator | DDL | ODER Mögliche Werte: ODER UND |
Ja | Geben Sie an, welcher logische Operator zwischen verschiedenen Entitätstypen verwendet werden soll. |
| Maximale Anzahl zurückzugebender Ergebnisse | Ganzzahl | 100 | Nein | Geben Sie an, wie viele Ergebnisse zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Host
- Nutzer
- Hash
- URL
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"query_type": "simple",
"rows": [
{
"msg": "2021-01-10 10:27:50 Benchmarker; reporting speed; service=norm_front; actual_mps=1; doable_mps=19096;",
"log_ts": 1610274470,
"actual_mps": "1",
"doable_mps": "19096",
"_type_str": "_tz device_name msg source_name col_type object norm_id service collected_at label device_ip
_enrich_policy action _fromV550 repo_name logpoint_name",
"device_name": "localhost",
"_offset": 48317,
"logpoint_name": "Logpoint",
"action": "reporting speed",
"repo_name": "_logpoint",
"source_name": "/opt/immune/var/log/benchmarker/norm_front.log",
"col_ts": 1610274470,
"_tz": "UTC",
"norm_id": "Logpoint",
"_identifier": "0",
"collected_at": "Logpoint",
"device_ip": "127.0.0.1",
"service": "norm_front",
"_fromV550": "t",
"_enrich_policy": "None",
"_type_num": "actual_mps doable_mps col_ts sig_id log_ts _offset _identifier",
"_type_ip": "device_ip",
"sig_id": "10505",
"col_type": "filesystem",
"object": "Benchmarker",
"_labels": [
"Logpoint",
"Benchmarker"
]
}
],
"version": 6,
"extracted_terms": [],
"time_range": [
1609496280,
1610274480
],
"orig_search_id": "9acac4a0-e530-4a19-a446-e17d4d9f8aae",
"success": true,
"final": true,
"totalPages": 1,
"estim_count": 185003,
"complete": true,
"status": {
"Logpoint": {
"default": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 3,
"final": true
},
"_logpoint": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 185000,
"final": true
},
"LogSource1": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
},
"_LogpointAlerts": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
}
}
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen. Wenn „success“ für alle Anfragen „true“ ist, aber keine Ergebnisse zurückgegeben werden („is_success“ = „false“): „Für die angegebene Abfrage wurden keine Daten gefunden.“ Wenn „success“ für mindestens eine Anfrage „false“ ist (is_success = false): „Die Aktion konnte die Anfrage nicht erfolgreich ausführen und Ergebnisse von Logpoint abrufen. Grund: {0}".format(message) Asynchrone Nachricht „Warten auf den Abschluss der Verarbeitung der Anfrage in Logpoint.“ Wenn „Stop If Not Enough Entities“ aktiviert ist und nicht genügend Entitätstypen für die angegebenen „Entity Keys“ verfügbar sind (is_success=false): Die Abfrage konnte nicht erstellt werden, da nicht genügend Entitätstypen für die angegebenen „Entity Keys“ bereitgestellt wurden. Deaktivieren Sie den Parameter „Stop If Not Enough Entities“ (Anhalten, wenn nicht genügend Entitäten vorhanden sind) oder geben Sie mindestens eine Entität für jeden angegebenen „.. Entity Key“ (.. Entitätsschlüssel) an. Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Bei Zeitüberschreitung: Fehler beim Ausführen der Aktion „Entitätsabfrage ausführen“. Grund: Bei der Aktion ist eine Zeitüberschreitung aufgetreten. Bitte schränken Sie den Zeitraum ein oder verringern Sie die Anzahl der zurückzugebenden Ergebnisse. Wenn mindestens ein Repository nicht gefunden wird: Wenn keine „Entity“-Schlüssel angegeben sind: Fehler beim Ausführen der Aktion „Entitätsabfrage ausführen“. Grund: Geben Sie mindestens einen Parameter vom Typ „.. Entity Key“ an. Wenn „Benutzerdefiniert“ ausgewählt ist, aber keine „Startzeit“ angegeben wurde: „Fehler beim Ausführen der Aktion ‚Entitätsabfrage ausführen‘. Grund: Sie müssen „Beginn“ angeben, wenn für den Zeitraum „Benutzerdefiniert“ ausgewählt ist.“ |
Allgemein |
Case Wall-Tabelle |
Tabellenname: „Results“ Alle Spalten aus der Antwort werden als Tabellenspalten verwendet. |
Allgemein |
Repositories auflisten
Beschreibung
Verfügbare Repositories in Logpoint auflisten
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Maximale Anzahl zurückzugebender Repositories | Ganzzahl | 100 | Nein | Geben Sie an, wie viele Berichte zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON-Ergebnis
{
"success": true,
"allowed_repos": [
{
"repo": "default",
"address": "127.0.0.1:5504/default"
},
{
"repo": "_logpoint",
"address": "127.0.0.1:5504/_logpoint"
},
{
"repo": "_LogpointAlerts",
"address": "127.0.0.1:5504/_LogpointAlerts"
},
{
"repo": "LogSource1",
"address": "127.0.0.1:5504/LogSource1"
}
],
"logpoint": [
{
"name": "Logpoint",
"ip": "127.0.0.1"
}
]
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und die Ausführung eines Playbooks nicht stoppen: Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellenname: „Available Repos“ Name – allowed_repos/repo Adresse – allowed_repos/address |
Allgemein |
Vorfallstatus aktualisieren
Beschreibung
Aktualisieren Sie den Vorfallstatus in Logpoint.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Vorfall-ID | String | – | Ja | Geben Sie die ID des Vorfalls an, den Sie aktualisieren möchten. |
| Aktion | DLL | Schließen Mögliche Werte: Klären Schließen |
Ja | Geben Sie die Aktion für den Vorfall an. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen oder die Ausführung eines Playbooks stoppen. if success== false(is_success = true): "Action wasn't able to {0} incident with ID {1} in Logpoint.".format(resolve/close, incident_id) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Bei schwerwiegendem Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, Sonstiges: „Fehler beim Ausführen der Aktion ‚Vorfallstatus aktualisieren‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Connector
Logpoint – Incidents Connector
Beschreibung
Vorfälle aus Logpoint abrufen
Logpoint – Incidents Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | Typ | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| IP-Adresse | String | https://x.x.x.x | Ja | IP-Adresse der Logpoint-Instanz. |
| Nutzername | String | – | Ja | Nutzername des Logpoint-Kontos. |
| Secret | Passwort | – | Ja | Das Secret des Logpoint-Kontos. |
| Maximale Stunden zurück | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Vorfälle abgerufen werden sollen. |
| Geringstes Risiko beim Abrufen | String | – | Nein | Das niedrigste Risiko der abzurufenden Vorfälle. Mögliche Werte: Kritisch, Hoch, Mittel, Niedrig |
| Maximale Anzahl abzurufender Vorfälle | Ganzzahl | 10 | Nein | Die Anzahl der Vorfälle, die pro Connector-Iteration verarbeitet werden sollen. |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird geprüft, ob das SSL-Zertifikat für die Verbindung zum Logpoint-Server gültig ist. |
| CA-Zertifikatsdatei | String | – | Nein | Base64-codierte CA-Zertifikatsdatei. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
| Nutzerfilter | CSV | – | Nein | Eine durch Kommas getrennte Liste von Nutzernamen, die zum Herausfiltern von Vorfällen verwendet werden. Es werden nur Vorfälle aufgenommen, die von den gültigen Nutzern erstellt wurden. Wenn nichts angegeben wird, wird dieser Filter nicht angewendet und der Connector erfasst Vorfälle von allen Nutzern. |
Connector-Regeln
Proxyunterstützung
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten