Punto de registro
Versión de la integración: 16.0
Casos de uso
Realizar acciones activas: Ejecutar consultas para obtener más información sobre las entidades
Configura la integración de Logpoint en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Dirección IP | String | https://x.x.x.x | Sí | Es la dirección IP de la instancia de Logpoint. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de Logpoint. |
| Secreto | Contraseña | N/A | Sí | Clave de API secreta de la cuenta de Logpoint |
| Archivo del certificado de CA | String | N/A | No | Es el archivo de certificado de CA codificado en Base64. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Logpoint sea válido. |
Acciones
Ping
Descripción
Prueba la conectividad con el Logpoint con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: La acción debe fallar y detener la ejecución de la guía: |
General |
Ejecutar consulta
Descripción
Ejecuta la búsqueda en Logpoint.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Consulta | String | N/A | Sí | Especifica la consulta que se debe ejecutar en Logpoint. |
| Período | DDL | Últimas 24 horas Valores posibles: Últimas 12 horas Últimas 24 horas Últimos 30 días Últimos 365 días Personalizado |
Sí | Especifica el período de la consulta. Si se selecciona "Personalizado", también debes proporcionar la hora de inicio y la hora de finalización. |
| Hora de inicio | String | N/A | No | Especifica la hora de inicio de la búsqueda. Formato: AAAA-MM-DDThh:mm:ssZ o marca de tiempo. |
| Hora de finalización | String | N/A | No | Especifica la hora de finalización de la consulta.Formato: AAAA-MM-DDThh:mm:ssZ o marca de tiempo. Si no se proporciona nada, la acción usará la hora actual como hora de finalización. |
| Repositorios | CSV | N/A | No | Especifica una lista separada por comas de los nombres de los repositorios. Si no se proporciona nada, la acción buscará en todos los repositorios. |
| Cantidad máxima de resultados para devolver | Número entero | 100 | No | Especifica cuántos resultados se deben devolver. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"query_type": "simple",
"rows": [
{
"msg": "2021-01-10 10:27:50 Benchmarker; reporting speed; service=norm_front; actual_mps=1; doable_mps=19096;",
"log_ts": 1610274470,
"actual_mps": "1",
"doable_mps": "19096",
"_type_str": "_tz device_name msg source_name col_type object norm_id service collected_at label device_ip
_enrich_policy action _fromV550 repo_name logpoint_name",
"device_name": "localhost",
"_offset": 48317,
"logpoint_name": "Logpoint",
"action": "reporting speed",
"repo_name": "_logpoint",
"source_name": "/opt/immune/var/log/benchmarker/norm_front.log",
"col_ts": 1610274470,
"_tz": "UTC",
"norm_id": "Logpoint",
"_identifier": "0",
"collected_at": "Logpoint",
"device_ip": "127.0.0.1",
"service": "norm_front",
"_fromV550": "t",
"_enrich_policy": "None",
"_type_num": "actual_mps doable_mps col_ts sig_id log_ts _offset _identifier",
"_type_ip": "device_ip",
"sig_id": "10505",
"col_type": "filesystem",
"object": "Benchmarker",
"_labels": [
"Logpoint",
"Benchmarker"
]
}
],
"version": 6,
"extracted_terms": [],
"time_range": [
1609496280,
1610274480
],
"orig_search_id": "9acac4a0-e530-4a19-a446-e17d4d9f8aae",
"success": true,
"final": true,
"totalPages": 1,
"estim_count": 185003,
"complete": true,
"status": {
"Logpoint": {
"default": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 3,
"final": true
},
"_logpoint": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 185000,
"final": true
},
"LogSource1": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
},
"_LogpointAlerts": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
}
}
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si success == true para todas las solicitudes, pero no hay resultados (is_success=false): "No se encontraron datos para la búsqueda proporcionada". Si success == false para al menos una solicitud (is_success = false): "La acción no pudo ejecutar la búsqueda correctamente ni recuperar los resultados de Logpoint. Reason: {0}".format(message) Mensaje asíncrono "Waiting for query to finish processing in Logpoint." La acción debe fallar y detener la ejecución de un playbook: Si se agota el tiempo de espera: Se produjo un error al ejecutar la acción "Ejecutar consulta". Motivo: Se agotó el tiempo de espera de la acción. Acota el período o reduce la cantidad de resultados que se mostrarán. Si no se encuentra al menos un repositorio, haz lo siguiente: “Error al ejecutar la acción "Ejecutar consulta". Motivo: No se encontraron los siguientes repositorios en Logpoint: {0}. Asegúrate de que todos los repositorios estén disponibles".format(comma-separated list of repos that were not found) Si se selecciona "Personalizado", pero no se proporciona la "Hora de inicio": “Error al ejecutar la acción "Ejecutar consulta". Motivo: Debes proporcionar la "Hora de inicio" si seleccionaste "Personalizado" para el período. |
General |
| Tabla del muro de casos | Nombre de la tabla: "Resultados" |
General |
Ejecuta la consulta de entidad
Descripción
Ejecuta la consulta en Logpoint según las entidades. Actualmente, se admiten los siguientes tipos de entidades: Usuario, IP, dirección de correo electrónico, URL, hash de archivo y nombre de host. Nota: La dirección de correo electrónico es una entidad de usuario que coincide con el formato de dirección de correo electrónico.
Cómo trabajar con parámetros de acción
Esta acción permite recuperar fácilmente información relacionada con entidades. Por ejemplo, es posible resolver el caso de uso en el que deseas ver la cantidad de registros de los extremos afectados por el hash proporcionado sin necesidad de crear consultas complicadas.
Para resolver este problema en Logpoint, deberás preparar la siguiente consulta: ("device_ip"="10.0.0.1" or "device_ip"="10.0.0.2") and
("hash"="7694f4a66316e53c8cdd9d9954bd611d" or
"hash"="8264ee52f589f4c0191aa94f87aa1aeb") | chart count() by device_ip
Para crear la misma consulta con la acción "Ejecutar consulta de entidad", debes completar los parámetros de la acción de la siguiente manera:
| Consulta | | chart count() by device_ip |
|---|---|
| Clave de entidad de IP | device_ip |
| Clave de entidad de hash de archivo | hash |
| Operador de entidades cruzadas | Y |
Todos los demás campos se pueden dejar vacíos.
Si el caso de uso es ver cuántos endpoints se vieron afectados por los hashes proporcionados, la configuración de "Ejecutar consulta de entidad" tendrá el siguiente aspecto.
| Consulta | | chart count() by device_ip |
|---|---|
| Clave de entidad de hash de archivo | hash |
En esta situación, el "operador de varias entidades" no tendrá impacto, ya que solo afecta la búsqueda cuando se proporcionan varias "claves de entidad".
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Consulta | String | Sí | Especifica la consulta que se debe ejecutar. Consulta la documentación de la acción para obtener más detalles. | |
| Período | DDL | Últimas 24 horas Valores posibles: Últimas 12 horas Últimas 24 horas Últimos 30 días Últimos 365 días Personalizado |
Sí | Especifica el período de la consulta. Si se selecciona "Personalizado", también debes proporcionar la hora de inicio. De forma predeterminada, se usará la hora actual como hora de finalización. |
| Hora de inicio | String | No | Especifica la hora de inicio de la búsqueda. Formato: AAAA-MM-DDThh:mm:ssZ o marca de tiempo. |
|
| Hora de finalización | String | No | Especifica la hora de finalización de la consulta.Formato: AAAA-MM-DDThh:mm:ssZ o marca de tiempo. Si no se proporciona nada, la acción usará la hora actual como hora de finalización. |
|
| Repositorios | CSV | No | Especifica una lista separada por comas de los nombres de los repositorios. Si no se proporciona nada, la acción buscará en todos los repositorios. | |
| Clave de entidad de IP | String | No | Especifica qué clave se debe usar con las entidades de IP. Consulta la documentación de la acción para obtener más detalles. | |
| Clave de entidad del nombre de host | String | No | Especifica qué clave se debe usar con las entidades de nombre de host cuando se prepara el objeto . Consulta la documentación de la acción para obtener más detalles. | |
| Clave de entidad de hash de archivo | No | Especifica qué clave se debe usar con las entidades de File Hash. Consulta la documentación de la acción para obtener más detalles. | ||
| Clave de entidad del usuario | No | Especifica qué clave se debe usar con las entidades de usuario. Consulta la documentación de la acción para obtener más detalles. | ||
| Clave de entidad de URL | No | Especifica qué clave se debe usar con las entidades de URL. Consulta la documentación de la acción para obtener más detalles. | ||
| Clave de entidad de dirección de correo electrónico | No | Especifica qué clave se debe usar con las entidades de dirección de correo electrónico. Consulta la documentación de la acción para obtener más detalles. | ||
| Detener si no hay suficientes entidades | Casilla de verificación | Marcado | Sí | Si está habilitada, la acción no comenzará a ejecutarse, a menos que todos los tipos de entidades estén disponibles para las ".. claves de entidad" especificadas. Ejemplo: Si se especifican "Clave de entidad de IP" y "Clave de entidad de hash de archivo", pero no hay hashes de archivo en el alcance, si este parámetro está habilitado, la acción no ejecutará la búsqueda. |
| Operador de entidades cruzadas | DDL | O Valores posibles: O Y |
Sí | Especifica qué operador lógico se debe usar entre los diferentes tipos de entidades. |
| Cantidad máxima de resultados para devolver | Número entero | 100 | No | Especifica cuántos resultados se deben devolver. |
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Host
- Usuario
- Hash
- URL
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"query_type": "simple",
"rows": [
{
"msg": "2021-01-10 10:27:50 Benchmarker; reporting speed; service=norm_front; actual_mps=1; doable_mps=19096;",
"log_ts": 1610274470,
"actual_mps": "1",
"doable_mps": "19096",
"_type_str": "_tz device_name msg source_name col_type object norm_id service collected_at label device_ip
_enrich_policy action _fromV550 repo_name logpoint_name",
"device_name": "localhost",
"_offset": 48317,
"logpoint_name": "Logpoint",
"action": "reporting speed",
"repo_name": "_logpoint",
"source_name": "/opt/immune/var/log/benchmarker/norm_front.log",
"col_ts": 1610274470,
"_tz": "UTC",
"norm_id": "Logpoint",
"_identifier": "0",
"collected_at": "Logpoint",
"device_ip": "127.0.0.1",
"service": "norm_front",
"_fromV550": "t",
"_enrich_policy": "None",
"_type_num": "actual_mps doable_mps col_ts sig_id log_ts _offset _identifier",
"_type_ip": "device_ip",
"sig_id": "10505",
"col_type": "filesystem",
"object": "Benchmarker",
"_labels": [
"Logpoint",
"Benchmarker"
]
}
],
"version": 6,
"extracted_terms": [],
"time_range": [
1609496280,
1610274480
],
"orig_search_id": "9acac4a0-e530-4a19-a446-e17d4d9f8aae",
"success": true,
"final": true,
"totalPages": 1,
"estim_count": 185003,
"complete": true,
"status": {
"Logpoint": {
"default": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 3,
"final": true
},
"_logpoint": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 185000,
"final": true
},
"LogSource1": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
},
"_LogpointAlerts": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
}
}
}
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: Si success == true para todas las solicitudes, pero no hay resultados (is_success=false): "No se encontraron datos para la búsqueda proporcionada". Si success == false para al menos una solicitud (is_success = false): "La acción no pudo ejecutar la búsqueda correctamente ni recuperar los resultados de Logpoint. Reason: {0}".format(message) Mensaje asíncrono "Waiting for query to finish processing in Logpoint." Si la opción "Detener si no hay suficientes entidades" está habilitada y no hay suficientes tipos de entidades disponibles para las "Claves de entidad" proporcionadas (is_success=false): No se pudo compilar la búsqueda porque no se proporcionaron suficientes tipos de entidades para las "Claves de entidad" especificadas. Inhabilita el parámetro "Detener si no hay suficientes entidades" o proporciona al menos una entidad para cada "Clave de entidad…" especificada. La acción debe fallar y detener la ejecución de un playbook: Si se agota el tiempo de espera: Se produjo un error al ejecutar la acción "Ejecutar consulta de entidad". Motivo: Se agotó el tiempo de espera de la acción. Acota el período o reduce la cantidad de resultados que se mostrarán. Si no se encuentra al menos un repo: Si no se especifican claves de "Entity": Se produjo un error al ejecutar la acción "Ejecutar consulta de entidad". Motivo: Especifica al menos un parámetro ".. Entity Key". Si se selecciona "Personalizado", pero no se proporciona la "Hora de inicio": "Se produjo un error al ejecutar la acción "Ejecutar consulta de entidad". Motivo: Debes proporcionar la "Hora de inicio" si seleccionaste "Personalizado" para el período. |
General |
Tabla del muro de casos |
Nombre de la tabla: "Resultados" Todas las columnas de la respuesta se usarán como columnas de la tabla. |
General |
Enumera los repositorios
Descripción
Enumera los repositorios disponibles en Logpoint.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Cantidad máxima de repositorios para devolver | Número entero | 100 | No | Especifica cuántos informes se deben devolver. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{
"success": true,
"allowed_repos": [
{
"repo": "default",
"address": "127.0.0.1:5504/default"
},
{
"repo": "_logpoint",
"address": "127.0.0.1:5504/_logpoint"
},
{
"repo": "_LogpointAlerts",
"address": "127.0.0.1:5504/_LogpointAlerts"
},
{
"repo": "LogSource1",
"address": "127.0.0.1:5504/LogSource1"
}
],
"logpoint": [
{
"name": "Logpoint",
"ip": "127.0.0.1"
}
]
}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: La acción debe fallar y detener la ejecución de un playbook: |
General |
| Tabla del muro de casos | Nombre de la tabla: "Repositorios disponibles" Nombre: allowed_repos/repo Dirección: allowed_repos/address |
General |
Actualiza el estado del incidente
Descripción
Actualiza el estado del incidente en Logpoint.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID del incidente | String | N/A | Sí | Especifica el ID del incidente que deseas actualizar. |
| Acción | DLL | Cerrar Valores posibles: Resolver Cerrar |
Sí | Especifica la acción para el incidente. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook: if success== false(is_success = true): "Action wasn't able to {0} incident with ID {1} in Logpoint.".format(resolve/close, incident_id) La acción debería fallar y detener la ejecución de la guía: Si se produce un error fatal, como credenciales incorrectas, no hay conexión con el servidor, etc.: "Se produjo un error al ejecutar la acción "Actualizar el estado del incidente". Reason: {0}''.format(error.Stacktrace) |
General |
Conector
Punto de registro: conector de incidentes
Descripción
Extrae incidentes de Logpoint.
Configura el conector de Logpoint - Incidents en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Nombre del producto | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | tipo | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
| Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Dirección IP | String | https://x.x.x.x | Sí | Es la dirección IP de la instancia de Logpoint. |
| Nombre de usuario | String | N/A | Sí | Nombre de usuario de la cuenta de Logpoint. |
| Secreto | Contraseña | N/A | Sí | Es el secreto de la cuenta de Logpoint. |
| Horas máximas hacia atrás | Número entero | 1 | No | Cantidad de horas desde las que se recuperan los incidentes. |
| Lowest Risk To Fetch | String | N/A | No | Es el riesgo más bajo de los incidentes que se recuperarán. Valores posibles: Crítica, alta, media y baja. |
| Cantidad máxima de incidentes para recuperar | Número entero | 10 | No | Cantidad de incidentes que se procesarán por iteración del conector. |
| Usar la lista blanca como lista negra | Casilla de verificación | Desmarcado | Sí | Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas. |
| Verificar SSL | Casilla de verificación | Desmarcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de Logpoint sea válido. |
| Archivo del certificado de CA | String | N/A | No | Es el archivo de certificado de CA codificado en Base64. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
| Filtro de usuario | CSV | N/A | No | Es una lista de nombres de usuario separados por comas que se usan para filtrar incidentes. Solo se transfieren los incidentes creados por los usuarios válidos. Si no se proporciona nada, no se aplica este filtro y el conector ingiere incidentes de todos los usuarios. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.