Punto de registro
Versión de integración: 16.0
Casos prácticos
Realizar acciones activas: ejecuta consultas para obtener más información sobre las entidades.
Configurar la integración de Logpoint en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Dirección IP | Cadena | https://x.x.x.x | Sí | Dirección IP de la instancia de Logpoint. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de Logpoint. |
| Secret | Contraseña | N/A | Sí | Clave de API secreta de la cuenta de Logpoint |
| Archivo de certificado de AC | Cadena | N/A | No | Archivo de certificado de AC codificado en Base64. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, comprueba que el certificado SSL de la conexión al servidor Logpoint sea válido. |
Acciones
Ping
Descripción
Prueba la conectividad con Logpoint con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas: La acción debería fallar y detener la ejecución de un cuaderno de estrategias: |
General |
Ejecutar consulta
Descripción
Ejecuta una consulta de búsqueda en Logpoint.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Consulta | Cadena | N/A | Sí | Especifica la consulta que se debe ejecutar en Logpoint. |
| Periodo | DDL | Últimas 24 horas Valores posibles: Últimas 12 horas Últimas 24 horas Últimos 30 días Últimos 365 días Personalizado |
Sí | Especifica el periodo de la consulta. Si se selecciona "Personalizado", también debes indicar la hora de inicio y la hora de finalización. |
| Hora de inicio | Cadena | N/A | No | Especifica la hora de inicio de la consulta. Formato: YYYY-MM-DDThh:mm:ssZ o marca de tiempo. |
| Hora de finalización | Cadena | N/A | No | Especifica la hora de finalización de la consulta.Formato: YYYY-MM-DDThh:mm:ssZ o marca de tiempo. Si no se proporciona nada, la acción usará la hora actual como hora de finalización. |
| Repos | CSV | N/A | No | Especifica una lista de nombres de repositorios separados por comas. Si no se proporciona nada, la acción buscará en todos los repositorios. |
| Número máximo de resultados que se devolverán | Entero | 100 | No | Especifica cuántos resultados se deben devolver. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"query_type": "simple",
"rows": [
{
"msg": "2021-01-10 10:27:50 Benchmarker; reporting speed; service=norm_front; actual_mps=1; doable_mps=19096;",
"log_ts": 1610274470,
"actual_mps": "1",
"doable_mps": "19096",
"_type_str": "_tz device_name msg source_name col_type object norm_id service collected_at label device_ip
_enrich_policy action _fromV550 repo_name logpoint_name",
"device_name": "localhost",
"_offset": 48317,
"logpoint_name": "Logpoint",
"action": "reporting speed",
"repo_name": "_logpoint",
"source_name": "/opt/immune/var/log/benchmarker/norm_front.log",
"col_ts": 1610274470,
"_tz": "UTC",
"norm_id": "Logpoint",
"_identifier": "0",
"collected_at": "Logpoint",
"device_ip": "127.0.0.1",
"service": "norm_front",
"_fromV550": "t",
"_enrich_policy": "None",
"_type_num": "actual_mps doable_mps col_ts sig_id log_ts _offset _identifier",
"_type_ip": "device_ip",
"sig_id": "10505",
"col_type": "filesystem",
"object": "Benchmarker",
"_labels": [
"Logpoint",
"Benchmarker"
]
}
],
"version": 6,
"extracted_terms": [],
"time_range": [
1609496280,
1610274480
],
"orig_search_id": "9acac4a0-e530-4a19-a446-e17d4d9f8aae",
"success": true,
"final": true,
"totalPages": 1,
"estim_count": 185003,
"complete": true,
"status": {
"Logpoint": {
"default": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 3,
"final": true
},
"_logpoint": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 185000,
"final": true
},
"LogSource1": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
},
"_LogpointAlerts": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
}
}
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si success == true en todas las solicitudes, pero no hay resultados (is_success=false): "No se han encontrado datos para la consulta proporcionada". Si success == false en al menos una solicitud (is_success = false): "No se ha podido ejecutar la consulta correctamente y obtener los resultados de Logpoint. Motivo: {0}".format(message) Mensaje asíncrono "Esperando a que termine de procesarse la consulta en Logpoint." La acción debería fallar y detener la ejecución de un libro de jugadas: Si se agota el tiempo de espera: Error al ejecutar la acción "Ejecutar consulta". Motivo: la acción ha alcanzado el tiempo de espera. Acota el periodo o reduce el número de resultados que quieres obtener. Si no se encuentra al menos un repositorio: "Error al ejecutar la acción "Ejecutar consulta". Motivo: No se han encontrado los siguientes repositorios en Logpoint: {0}. Asegúrate de que todos los repositorios estén disponibles.".format(lista separada por comas de los repositorios que no se han encontrado) Si se selecciona "Personalizado", pero no se indica la hora de inicio: "Error al ejecutar la acción "Ejecutar consulta". Motivo: debes indicar la hora de inicio si has seleccionado "Personalizado" en el periodo. |
General |
| Tabla del panel de casos | Nombre de la tabla: "Resultados" |
General |
Ejecutar consulta de entidad
Descripción
Ejecuta la consulta en Logpoint en función de las entidades. Tipos de entidad admitidos actualmente: User, IP, Email Address, URL, File Hash y Hostname. Nota: Email Address es una entidad User que coincide con el formato de una dirección de correo electrónico.
Cómo trabajar con parámetros de acción
Esta acción permite recuperar fácilmente información relacionada con entidades. Por ejemplo, puedes resolver el caso práctico en el que quieres ver la cantidad de registros de los endpoints afectados por el hash proporcionado sin tener que crear consultas complejas.
Para solucionar este problema en Logpoint, debes preparar la siguiente consulta: ("device_ip"="10.0.0.1" or "device_ip"="10.0.0.2") and
("hash"="7694f4a66316e53c8cdd9d9954bd611d" or
"hash"="8264ee52f589f4c0191aa94f87aa1aeb") | chart count() by device_ip
Para crear la misma consulta con la acción "Ejecutar consulta de entidad", debes rellenar los parámetros de la acción de la siguiente manera:
| Consulta | | chart count() by device_ip |
|---|---|
| Clave de entidad de IP | device_ip |
| Clave de entidad de hash de archivo | hash |
| Operador de entidad cruzada | Y |
El resto de los campos se pueden dejar en blanco.
Si el caso de uso es ver cuántos endpoints se han visto afectados por los hashes proporcionados, la configuración de "Ejecutar consulta de entidad" tendrá el siguiente aspecto.
| Consulta | | chart count() by device_ip |
|---|---|
| Clave de entidad de hash de archivo | hash |
En esta situación, el operador de entidad cruzada no tendrá ningún efecto, ya que solo afecta a la consulta cuando se proporcionan varias claves de entidad.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Consulta | Cadena | Sí | Especifica la consulta que se debe ejecutar. Para obtener más información, consulta la documentación de la acción. | |
| Periodo | DDL | Últimas 24 horas Valores posibles: Últimas 12 horas Últimas 24 horas Últimos 30 días Últimos 365 días Personalizado |
Sí | Especifica el periodo de la consulta. Si se selecciona "Personalizado", también debe indicar la hora de inicio. La hora de finalización se establecerá de forma predeterminada como la hora actual. |
| Hora de inicio | Cadena | No | Especifica la hora de inicio de la consulta. Formato: YYYY-MM-DDThh:mm:ssZ o marca de tiempo. |
|
| Hora de finalización | Cadena | No | Especifica la hora de finalización de la consulta.Formato: YYYY-MM-DDThh:mm:ssZ o marca de tiempo. Si no se proporciona nada, la acción usará la hora actual como hora de finalización. |
|
| Repos | CSV | No | Especifica una lista de nombres de repositorios separados por comas. Si no se proporciona nada, la acción buscará en todos los repositorios. | |
| Clave de entidad de IP | Cadena | No | Especifica qué clave se debe usar con las entidades de IP. Para obtener más información, consulta la documentación de la acción. | |
| Clave de entidad de nombre de host | Cadena | No | Especifica qué clave se debe usar con las entidades Hostname al preparar el . Para obtener más información, consulta la documentación de la acción. | |
| Clave de entidad de hash de archivo | No | Especifica qué clave se debe usar con las entidades de hash de archivo. Para obtener más información, consulta la documentación de la acción. | ||
| Clave de entidad de usuario | No | Especifica qué clave se debe usar con las entidades de usuario. Para obtener más información, consulta la documentación de la acción. | ||
| Clave de entidad de URL | No | Especifica qué clave se debe usar con las entidades de URL. Para obtener más información, consulta la documentación de la acción. | ||
| Clave de entidad de dirección de correo electrónico | No | Especifica qué clave se debe usar con las entidades de dirección de correo electrónico. Para obtener más información, consulta la documentación de la acción. | ||
| Stop If Not Enough Entities | Casilla | Marcada | Sí | Si está habilitada, la acción no se iniciará a menos que todos los tipos de entidad estén disponibles para las claves de entidad especificadas. Por ejemplo, si se especifican "Clave de entidad de IP" y "Clave de entidad de hash de archivo", pero no hay hashes de archivo en el ámbito, si este parámetro está habilitado, la acción no ejecutará la consulta. |
| Operador de entidad cruzada | DDL | O Valores posibles: O Y |
Sí | Especifica el operador lógico que se debe usar entre los distintos tipos de entidad. |
| Número máximo de resultados que se devolverán | Entero | 100 | No | Especifica cuántos resultados se deben devolver. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Host
- Usuario
- Hash
- URL
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"query_type": "simple",
"rows": [
{
"msg": "2021-01-10 10:27:50 Benchmarker; reporting speed; service=norm_front; actual_mps=1; doable_mps=19096;",
"log_ts": 1610274470,
"actual_mps": "1",
"doable_mps": "19096",
"_type_str": "_tz device_name msg source_name col_type object norm_id service collected_at label device_ip
_enrich_policy action _fromV550 repo_name logpoint_name",
"device_name": "localhost",
"_offset": 48317,
"logpoint_name": "Logpoint",
"action": "reporting speed",
"repo_name": "_logpoint",
"source_name": "/opt/immune/var/log/benchmarker/norm_front.log",
"col_ts": 1610274470,
"_tz": "UTC",
"norm_id": "Logpoint",
"_identifier": "0",
"collected_at": "Logpoint",
"device_ip": "127.0.0.1",
"service": "norm_front",
"_fromV550": "t",
"_enrich_policy": "None",
"_type_num": "actual_mps doable_mps col_ts sig_id log_ts _offset _identifier",
"_type_ip": "device_ip",
"sig_id": "10505",
"col_type": "filesystem",
"object": "Benchmarker",
"_labels": [
"Logpoint",
"Benchmarker"
]
}
],
"version": 6,
"extracted_terms": [],
"time_range": [
1609496280,
1610274480
],
"orig_search_id": "9acac4a0-e530-4a19-a446-e17d4d9f8aae",
"success": true,
"final": true,
"totalPages": 1,
"estim_count": 185003,
"complete": true,
"status": {
"Logpoint": {
"default": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 3,
"final": true
},
"_logpoint": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 185000,
"final": true
},
"LogSource1": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
},
"_LogpointAlerts": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
}
}
}
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si success == true en todas las solicitudes, pero no hay resultados (is_success=false): "No se han encontrado datos para la consulta proporcionada". Si success == false en al menos una solicitud (is_success = false): "No se ha podido ejecutar la consulta correctamente y obtener los resultados de Logpoint. Motivo: {0}".format(message) Mensaje asíncrono "Esperando a que termine de procesarse la consulta en Logpoint." Si la opción "Detener si no hay suficientes entidades" está habilitada y no hay suficientes tipos de entidad disponibles para las "Claves de entidad" proporcionadas (is_success=false): la acción no ha podido crear la consulta porque no se han proporcionado suficientes tipos de entidad para las "Claves de entidad" especificadas. Inhabilite el parámetro "Detener si no hay suficientes entidades" o proporcione al menos una entidad para cada "Clave de entidad" especificada. La acción debería fallar y detener la ejecución de un libro de jugadas: Si se agota el tiempo de espera: Error al ejecutar la acción "Ejecutar consulta de entidad". Motivo: la acción ha alcanzado el tiempo de espera. Acota el periodo o reduce el número de resultados que quieres obtener. Si no se encuentra al menos un repositorio: Si no se especifica ninguna clave "Entity": Error al ejecutar la acción "Ejecutar consulta de entidad". Motivo: especifique al menos un parámetro ".. Entity Key". Si se selecciona "Personalizado", pero no se indica la hora de inicio: "Error al ejecutar la acción "Ejecutar consulta de entidad". Motivo: debes indicar la hora de inicio si has seleccionado "Personalizado" en el periodo. |
General |
Tabla del panel de casos |
Nombre de la tabla: "Resultados" Todas las columnas de la respuesta se usarán como columnas de la tabla. |
General |
List Repos
Descripción
Lista de repositorios disponibles en Logpoint.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Número máximo de repositorios que se devolverán | Entero | 100 | No | Especifica cuántos informes se deben devolver. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"success": true,
"allowed_repos": [
{
"repo": "default",
"address": "127.0.0.1:5504/default"
},
{
"repo": "_logpoint",
"address": "127.0.0.1:5504/_logpoint"
},
{
"repo": "_LogpointAlerts",
"address": "127.0.0.1:5504/_LogpointAlerts"
},
{
"repo": "LogSource1",
"address": "127.0.0.1:5504/LogSource1"
}
],
"logpoint": [
{
"name": "Logpoint",
"ip": "127.0.0.1"
}
]
}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: La acción debería fallar y detener la ejecución de un libro de jugadas: |
General |
| Tabla del panel de casos | Nombre de la tabla: "Available Repos" (Repositorios disponibles) Nombre: allowed_repos/repo Dirección: allowed_repos/address |
General |
Actualizar estado de incidente
Descripción
Actualiza el estado de la incidencia en Logpoint.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del incidente | Cadena | N/A | Sí | Especifique el ID del incidente que quiera actualizar. |
| Acción | DLL | Cerrar Valores posibles: Resolver Cerrar |
Sí | Especifica la acción del incidente. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un cuaderno de estrategias: if success== false(is_success = true): "No se ha podido {0} el incidente con el ID {1} en Logpoint.".format(resolve/close, incident_id) La acción debería fallar y detener la ejecución de la guía: Si se produce un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: "Error al ejecutar la acción "Actualizar estado de incidencia". Motivo: {0}''.format(error.Stacktrace) |
General |
Conector
Logpoint - Incidents Connector
Descripción
Extrae incidentes de Logpoint.
Configurar el conector de Logpoint - Incidents en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | tipo | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Dirección IP | Cadena | https://x.x.x.x | Sí | Dirección IP de la instancia de Logpoint. |
| Nombre de usuario | Cadena | N/A | Sí | Nombre de usuario de la cuenta de Logpoint. |
| Secret | Contraseña | N/A | Sí | Secreto de la cuenta de Logpoint. |
| Número máximo de horas hacia atrás | Entero | 1 | No | Número de horas desde las que se deben obtener los incidentes. |
| Riesgo más bajo para obtener | Cadena | N/A | No | Riesgo más bajo de los incidentes que se van a obtener. Posibles valores: Crítica, Alta, Media y Baja. |
| Número máximo de incidentes que se van a obtener | Entero | 10 | No | Número de incidentes que se deben procesar por cada iteración del conector. |
| Usar la lista blanca como lista negra | Casilla | Desmarcada | Sí | Si está habilitada, la lista de permitidos se usará como lista de denegados. |
| Verificar SSL | Casilla | Desmarcada | Sí | Si está habilitada, verifica que el certificado SSL de la conexión al servidor Logpoint sea válido. |
| Archivo de certificado de AC | Cadena | N/A | No | Archivo de certificado de AC codificado en Base64. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
| Filtro de usuario | CSV | N/A | No | Lista de nombres de usuario separados por comas que se usan para filtrar incidencias. Solo se ingieren las incidencias creadas por usuarios válidos. Si no se proporciona nada, este filtro no se aplica y el conector ingiere incidencias de todos los usuarios. |
Reglas de conectores
Compatibilidad con proxy
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.