Logpoint
Versi integrasi: 16.0
Kasus Penggunaan
Lakukan tindakan aktif - jalankan kueri untuk mendapatkan informasi selengkapnya tentang entitas.
Mengonfigurasi integrasi Logpoint di Google Security Operations
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Alamat IP | String | https://x.x.x.x | Ya | Alamat IP instance Logpoint. |
| Nama pengguna | String | T/A | Ya | Nama pengguna akun Logpoint. |
| Rahasia | Sandi | T/A | Ya | Kunci API Rahasia akun Logpoint |
| File Sertifikat CA | String | T/A | Tidak | File sertifikat CA yang dienkode base64. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server Logpoint valid. |
Tindakan
Ping
Deskripsi
Uji konektivitas ke Logpoint dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.
Parameter
T/A
Run On
Tindakan tidak berjalan pada entity, dan tidak memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Tindakan harus gagal dan menghentikan eksekusi playbook: |
Umum |
Jalankan Kueri
Deskripsi
Jalankan kueri penelusuran di Logpoint.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Kueri | String | T/A | Ya | Tentukan kueri yang perlu dijalankan di Logpoint. |
| Jangka Waktu | DDL | 24 Jam Terakhir Kemungkinan Nilai: 12 Jam Terakhir 24 Jam Terakhir 30 Hari Terakhir 365 Hari Terakhir Kustom |
Ya | Tentukan jangka waktu untuk kueri. Jika "Kustom" dipilih, Anda juga harus memberikan waktu mulai dan waktu berakhir. |
| Waktu Mulai | String | T/A | Tidak | Tentukan waktu mulai untuk kueri. Format: YYYY-MM-DDThh:mm:ssZ atau stempel waktu. |
| Waktu Berakhir | String | T/A | Tidak | Tentukan waktu berakhir untuk kueri.Format: YYYY-MM-DDThh:mm:ssZ atau stempel waktu. Jika tidak ada yang diberikan, tindakan akan menggunakan waktu saat ini sebagai waktu berakhir. |
| Repositori | CSV | T/A | Tidak | Tentukan daftar nama repositori yang dipisahkan koma. Jika tidak ada yang diberikan, tindakan akan menelusuri semua repositori. |
| Jumlah Hasil Maksimum yang Akan Ditampilkan | Bilangan bulat | 100 | Tidak | Tentukan jumlah hasil yang harus ditampilkan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"query_type": "simple",
"rows": [
{
"msg": "2021-01-10 10:27:50 Benchmarker; reporting speed; service=norm_front; actual_mps=1; doable_mps=19096;",
"log_ts": 1610274470,
"actual_mps": "1",
"doable_mps": "19096",
"_type_str": "_tz device_name msg source_name col_type object norm_id service collected_at label device_ip
_enrich_policy action _fromV550 repo_name logpoint_name",
"device_name": "localhost",
"_offset": 48317,
"logpoint_name": "Logpoint",
"action": "reporting speed",
"repo_name": "_logpoint",
"source_name": "/opt/immune/var/log/benchmarker/norm_front.log",
"col_ts": 1610274470,
"_tz": "UTC",
"norm_id": "Logpoint",
"_identifier": "0",
"collected_at": "Logpoint",
"device_ip": "127.0.0.1",
"service": "norm_front",
"_fromV550": "t",
"_enrich_policy": "None",
"_type_num": "actual_mps doable_mps col_ts sig_id log_ts _offset _identifier",
"_type_ip": "device_ip",
"sig_id": "10505",
"col_type": "filesystem",
"object": "Benchmarker",
"_labels": [
"Logpoint",
"Benchmarker"
]
}
],
"version": 6,
"extracted_terms": [],
"time_range": [
1609496280,
1610274480
],
"orig_search_id": "9acac4a0-e530-4a19-a446-e17d4d9f8aae",
"success": true,
"final": true,
"totalPages": 1,
"estim_count": 185003,
"complete": true,
"status": {
"Logpoint": {
"default": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 3,
"final": true
},
"_logpoint": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 185000,
"final": true
},
"LogSource1": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
},
"_LogpointAlerts": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
}
}
}
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika success == true untuk semua permintaan, tetapi tidak ada hasil (is_success=false): "Tidak ada data yang ditemukan untuk kueri yang diberikan." Jika success == false untuk setidaknya satu permintaan (is_success = false): "Tindakan tidak dapat berhasil menjalankan kueri dan mengambil hasil dari Logpoint. Alasan: {0}".format(message) Pesan asinkron "Menunggu kueri selesai diproses di Logpoint." Tindakan harus gagal dan menghentikan eksekusi playbook: Jika waktu tunggu habis: Terjadi error saat menjalankan tindakan "Execute Query". Alasan: Tindakan mencapai waktu tunggu. Persempit jangka waktu atau kurangi jumlah hasil yang akan ditampilkan. Jika setidaknya satu repo tidak ditemukan: "Error saat menjalankan tindakan "Jalankan Kueri". Alasan: Repositori berikut tidak ditemukan di Logpoint: {0}. Pastikan semua repositori tersedia.".format(comma-separated list of repos that were not found) Jika "Kustom" dipilih, tetapi "Waktu Mulai" tidak diberikan: "Error saat menjalankan tindakan "Jalankan Kueri". Alasan: Anda harus memberikan "Waktu Mulai", jika "Kustom" dipilih untuk jangka waktu." |
Umum |
| Tabel Repositori Kasus | Nama Tabel: "Hasil" |
Umum |
Jalankan Kueri Entity
Deskripsi
Jalankan kueri di Logpoint berdasarkan entitas. Jenis entitas yang didukung saat ini: Pengguna, IP, Alamat Email, URL, Hash File, Nama Host. Catatan: Alamat Email adalah entitas Pengguna yang cocok dengan format alamat email.
Cara menggunakan parameter tindakan
Tindakan ini memberikan kemampuan untuk mengambil informasi terkait entitas dengan mudah. Misalnya, Anda dapat menyelesaikan kasus penggunaan, di mana Anda ingin melihat jumlah log endpoint yang terpengaruh oleh hash yang diberikan tanpa membuat kueri yang rumit.
Untuk mengatasi masalah ini di Logpoint, Anda harus menyiapkan kueri berikut: ("device_ip"="10.0.0.1" or "device_ip"="10.0.0.2") and
("hash"="7694f4a66316e53c8cdd9d9954bd611d" or
"hash"="8264ee52f589f4c0191aa94f87aa1aeb") | chart count() by device_ip
Untuk membuat kueri yang sama menggunakan tindakan "Execute Entity Query", Anda perlu mengisi parameter tindakan dengan cara berikut:
| Kueri | | chart count() by device_ip |
|---|---|
| Kunci Entitas IP | device_ip |
| Kunci Entitas Hash File | hash |
| Operator Lintas Entitas | DAN |
Semua kolom lainnya dapat dibiarkan kosong.
Jika kasus penggunaannya adalah untuk melihat jumlah endpoint yang terpengaruh oleh hash yang diberikan, konfigurasi "Execute Entity Query" akan terlihat seperti berikut.
| Kueri | | chart count() by device_ip |
|---|---|
| Kunci Entitas Hash File | hash |
"Operator Lintas Entitas" dalam situasi ini tidak akan berdampak, karena hanya memengaruhi kueri, saat beberapa "Kunci Entitas" diberikan.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Kueri | String | Ya | Tentukan kueri yang perlu dijalankan. Lihat dokumentasi tindakan untuk mengetahui detailnya. | |
| Jangka Waktu | DDL | 24 Jam Terakhir Kemungkinan Nilai: 12 Jam Terakhir 24 Jam Terakhir 30 Hari Terakhir 365 Hari Terakhir Kustom |
Ya | Tentukan jangka waktu untuk kueri. Jika "Kustom" dipilih, Anda juga perlu memberikan waktu mulai. Waktu berakhir secara default akan menggunakan waktu saat ini. |
| Waktu Mulai | String | Tidak | Tentukan waktu mulai untuk kueri. Format: YYYY-MM-DDThh:mm:ssZ atau stempel waktu. |
|
| Waktu Berakhir | String | Tidak | Tentukan waktu berakhir untuk kueri.Format: YYYY-MM-DDThh:mm:ssZ atau stempel waktu. Jika tidak ada yang diberikan, tindakan akan menggunakan waktu saat ini sebagai waktu berakhir. |
|
| Repositori | CSV | Tidak | Tentukan daftar nama repositori yang dipisahkan koma. Jika tidak ada yang diberikan, tindakan akan menelusuri semua repositori. | |
| Kunci Entitas IP | String | Tidak | Tentukan kunci yang harus digunakan dengan entity IP. Lihat dokumentasi tindakan untuk mengetahui detailnya. | |
| Kunci Entitas Nama Host | String | Tidak | Tentukan kunci yang akan digunakan dengan entitas Nama host, saat menyiapkan . Lihat dokumentasi tindakan untuk mengetahui detailnya. | |
| Kunci Entitas Hash File | Tidak | Tentukan kunci yang akan digunakan dengan entity Hash File. Lihat dokumentasi tindakan untuk mengetahui detailnya. | ||
| Kunci Entitas Pengguna | Tidak | Tentukan kunci yang akan digunakan dengan entity Pengguna. Lihat dokumentasi tindakan untuk mengetahui detailnya. | ||
| Kunci Entitas URL | Tidak | Tentukan kunci yang harus digunakan dengan entity URL. Lihat dokumentasi tindakan untuk mengetahui detailnya. | ||
| Kunci Entitas Alamat Email | Tidak | Tentukan kunci yang harus digunakan dengan entity Alamat Email. Lihat dokumentasi tindakan untuk mengetahui detailnya. | ||
| Hentikan Jika Entitas Tidak Cukup | Kotak centang | Dicentang | Ya | Jika diaktifkan, tindakan tidak akan mulai dieksekusi, kecuali semua jenis entitas tersedia untuk ".. Kunci Entitas" yang ditentukan. Contoh: jika "Kunci Entitas IP" dan "Kunci Entitas Hash File" ditentukan, tetapi dalam cakupan tidak ada hash file, maka jika parameter ini diaktifkan, tindakan tidak akan menjalankan kueri. |
| Operator Lintas Entitas | DDL | ATAU Nilai yang Mungkin: ATAU DAN |
Ya | Tentukan operator logika yang harus digunakan di antara berbagai jenis entitas. |
| Jumlah Hasil Maksimum yang Akan Ditampilkan | Bilangan bulat | 100 | Tidak | Tentukan jumlah hasil yang harus ditampilkan. |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Host
- Pengguna
- Hash
- URL
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"query_type": "simple",
"rows": [
{
"msg": "2021-01-10 10:27:50 Benchmarker; reporting speed; service=norm_front; actual_mps=1; doable_mps=19096;",
"log_ts": 1610274470,
"actual_mps": "1",
"doable_mps": "19096",
"_type_str": "_tz device_name msg source_name col_type object norm_id service collected_at label device_ip
_enrich_policy action _fromV550 repo_name logpoint_name",
"device_name": "localhost",
"_offset": 48317,
"logpoint_name": "Logpoint",
"action": "reporting speed",
"repo_name": "_logpoint",
"source_name": "/opt/immune/var/log/benchmarker/norm_front.log",
"col_ts": 1610274470,
"_tz": "UTC",
"norm_id": "Logpoint",
"_identifier": "0",
"collected_at": "Logpoint",
"device_ip": "127.0.0.1",
"service": "norm_front",
"_fromV550": "t",
"_enrich_policy": "None",
"_type_num": "actual_mps doable_mps col_ts sig_id log_ts _offset _identifier",
"_type_ip": "device_ip",
"sig_id": "10505",
"col_type": "filesystem",
"object": "Benchmarker",
"_labels": [
"Logpoint",
"Benchmarker"
]
}
],
"version": 6,
"extracted_terms": [],
"time_range": [
1609496280,
1610274480
],
"orig_search_id": "9acac4a0-e530-4a19-a446-e17d4d9f8aae",
"success": true,
"final": true,
"totalPages": 1,
"estim_count": 185003,
"complete": true,
"status": {
"Logpoint": {
"default": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 3,
"final": true
},
"_logpoint": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 185000,
"final": true
},
"LogSource1": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
},
"_LogpointAlerts": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
}
}
}
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika success == true untuk semua permintaan, tetapi tidak ada hasil (is_success=false): "Tidak ada data yang ditemukan untuk kueri yang diberikan." Jika success == false untuk setidaknya satu permintaan (is_success = false): "Tindakan tidak dapat berhasil menjalankan kueri dan mengambil hasil dari Logpoint. Alasan: {0}".format(message) Pesan asinkron "Menunggu kueri selesai diproses di Logpoint." Jika "Berhenti Jika Entitas Tidak Cukup" diaktifkan dan jenis entitas yang tersedia untuk "Kunci Entitas" yang diberikan tidak cukup (is_success=false): Tindakan tidak dapat membuat kueri, karena jenis entitas yang diberikan untuk ".. Kunci Entitas" yang ditentukan tidak cukup. Nonaktifkan parameter "Berhenti Jika Entitas Tidak Cukup" atau berikan setidaknya satu entitas untuk setiap ".. Kunci Entitas" yang ditentukan. Tindakan harus gagal dan menghentikan eksekusi playbook: Jika waktu tunggu habis: Terjadi error saat menjalankan tindakan "Execute Entity Query". Alasan: Tindakan mencapai waktu tunggu. Persempit jangka waktu atau kurangi jumlah hasil yang akan ditampilkan. Jika setidaknya satu repo tidak ditemukan: Jika tidak ada kunci "Entitas" yang ditentukan: Terjadi error saat menjalankan tindakan "Execute Entity Query". Alasan: Tentukan setidaknya satu parameter ".. Entity Key". Jika "Kustom" dipilih, tetapi "Waktu Mulai" tidak diberikan: "Error saat menjalankan tindakan "Execute Entity Query". Alasan: Anda harus memberikan "Waktu Mulai", jika "Kustom" dipilih untuk jangka waktu." |
Umum |
Tabel Repositori Kasus |
Nama Tabel: "Hasil" Semua kolom dari respons akan digunakan sebagai kolom tabel. |
Umum |
Mencantumkan Repositori
Deskripsi
Mencantumkan repositori yang tersedia di Logpoint.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jumlah Maksimum Repositori yang Akan Ditampilkan | Bilangan bulat | 100 | Tidak | Tentukan jumlah laporan yang harus ditampilkan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Hasil JSON
{
"success": true,
"allowed_repos": [
{
"repo": "default",
"address": "127.0.0.1:5504/default"
},
{
"repo": "_logpoint",
"address": "127.0.0.1:5504/_logpoint"
},
{
"repo": "_LogpointAlerts",
"address": "127.0.0.1:5504/_LogpointAlerts"
},
{
"repo": "LogSource1",
"address": "127.0.0.1:5504/LogSource1"
}
],
"logpoint": [
{
"name": "Logpoint",
"ip": "127.0.0.1"
}
]
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Tindakan harus gagal dan menghentikan eksekusi playbook: |
Umum |
| Tabel Repositori Kasus | Nama Tabel: "Available Repos" Nama - allowed_repos/repo Alamat - allowed_repos/address |
Umum |
Memperbarui Status Insiden
Deskripsi
Perbarui status insiden di Logpoint.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Insiden | String | T/A | Ya | Tentukan ID insiden yang ingin Anda perbarui. |
| Tindakan | DLL | Tutup Nilai yang Mungkin: Selesaikan Tutup |
Ya | Tentukan tindakan untuk insiden. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: if success== false(is_success = true): "Action wasn't able to {0} incident with ID {1} in Logpoint.".format(resolve/close, incident_id) Tindakan akan gagal dan menghentikan eksekusi playbook: jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, lainnya: "Error saat menjalankan tindakan "Perbarui Status Insiden". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Konektor
Logpoint - Konektor Insiden
Deskripsi
Tarik insiden dari Logpoint.
Mengonfigurasi Konektor Insiden - Logpoint di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | Nama Produk | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | jenis | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
| Nama Kolom Lingkungan | String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
| Pola Regex Lingkungan | String | .* | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Alamat IP | String | https://x.x.x.x | Ya | Alamat IP instance Logpoint. |
| Nama pengguna | String | T/A | Ya | Nama pengguna akun Logpoint. |
| Rahasia | Sandi | T/A | Ya | Secret akun Logpoint. |
| Maks. Jam Mundur | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat pengambilan insiden. |
| Risiko Terendah untuk Mengambil | String | T/A | Tidak | Risiko terendah dari insiden yang akan diambil. Nilai yang memungkinkan: Kritis, Tinggi, Sedang, Rendah. |
| Jumlah Maksimum Insiden yang Akan Diambil | Bilangan bulat | 10 | Tidak | Jumlah insiden yang akan diproses per iterasi konektor. |
| Menggunakan daftar yang diizinkan sebagai daftar blokir | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, daftar yang diizinkan akan digunakan sebagai daftar yang diblokir. |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server Logpoint valid. |
| File Sertifikat CA | String | T/A | Tidak | File sertifikat CA yang dienkode base64. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
| Filter Pengguna | CSV | T/A | Tidak | Daftar nama pengguna yang dipisahkan koma yang digunakan untuk mengecualikan insiden. Hanya insiden yang dibuat oleh pengguna yang valid yang diserap. Jika tidak ada yang diberikan, filter ini tidak diterapkan dan konektor akan menyerap insiden dari semua pengguna. |
Aturan Konektor
Dukungan Proxy
Konektor mendukung proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.