ログポイント
統合バージョン: 16.0
ユースケース
アクティブなアクションを実行する - クエリを実行してエンティティの詳細情報を取得します。
Google Security Operations で Logpoint の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| IP アドレス | 文字列 | https://x.x.x.x | はい | Logpoint インスタンスの IP アドレス。 |
| ユーザー名 | 文字列 | なし | はい | Logpoint アカウントのユーザー名。 |
| シークレット | パスワード | なし | はい | Logpoint アカウントのシークレット API キー |
| CA 証明書ファイル | 文字列 | なし | いいえ | Base64 でエンコードされた CA 証明書ファイル。 |
| SSL を確認 | チェックボックス | オン | はい | 有効になっている場合は、Logpoint サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
アクション
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されているパラメータを使用して、Logpoint への接続をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 アクションが失敗し、ハンドブックの実行が停止します。 |
全般 |
クエリを実行
説明
Logpoint で検索クエリを実行します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| クエリ | 文字列 | なし | はい | Logpoint で実行する必要があるクエリを指定します。 |
| 期間 | DDL | 過去 24 時間 可能な値: 直近 12 時間 過去 24 時間 過去 30 日間 最後 365 日間 カスタム |
はい | クエリの期間を指定します。「カスタム」を選択した場合は、開始時刻と終了時刻も指定する必要があります。 |
| 開始時刻 | 文字列 | なし | いいえ | クエリの開始時刻を指定します。形式: YYYY-MM-DDThh:mm:ssZ またはタイムスタンプ。 |
| 終了時刻 | 文字列 | なし | いいえ | クエリの終了時刻を指定します。形式: YYYY-MM-DDThh:mm:ssZ またはタイムスタンプ。何も指定しないと、アクションでは現在の時刻が終了時刻として使用されます。 |
| リポジトリ | CSV | なし | いいえ | リポジトリ名のカンマ区切りのリストを指定します。何も指定しない場合、アクションはすべてのリポジトリを検索します。 |
| 返される結果の最大数 | 整数 | 100 | いいえ | 返す結果の数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"query_type": "simple",
"rows": [
{
"msg": "2021-01-10 10:27:50 Benchmarker; reporting speed; service=norm_front; actual_mps=1; doable_mps=19096;",
"log_ts": 1610274470,
"actual_mps": "1",
"doable_mps": "19096",
"_type_str": "_tz device_name msg source_name col_type object norm_id service collected_at label device_ip
_enrich_policy action _fromV550 repo_name logpoint_name",
"device_name": "localhost",
"_offset": 48317,
"logpoint_name": "Logpoint",
"action": "reporting speed",
"repo_name": "_logpoint",
"source_name": "/opt/immune/var/log/benchmarker/norm_front.log",
"col_ts": 1610274470,
"_tz": "UTC",
"norm_id": "Logpoint",
"_identifier": "0",
"collected_at": "Logpoint",
"device_ip": "127.0.0.1",
"service": "norm_front",
"_fromV550": "t",
"_enrich_policy": "None",
"_type_num": "actual_mps doable_mps col_ts sig_id log_ts _offset _identifier",
"_type_ip": "device_ip",
"sig_id": "10505",
"col_type": "filesystem",
"object": "Benchmarker",
"_labels": [
"Logpoint",
"Benchmarker"
]
}
],
"version": 6,
"extracted_terms": [],
"time_range": [
1609496280,
1610274480
],
"orig_search_id": "9acac4a0-e530-4a19-a446-e17d4d9f8aae",
"success": true,
"final": true,
"totalPages": 1,
"estim_count": 185003,
"complete": true,
"status": {
"Logpoint": {
"default": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 3,
"final": true
},
"_logpoint": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 185000,
"final": true
},
"LogSource1": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
},
"_LogpointAlerts": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
}
}
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 すべてのリクエストで success == true であっても結果がない場合(is_success=false): 「指定されたクエリのデータが見つかりませんでした。」 少なくとも 1 つのリクエストで success == false の場合(is_success = false): 「アクションはクエリを正常に実行し、Logpoint から結果を取得できませんでした。理由: {0}」.format(message) 非同期メッセージ 「Logpoint でクエリの処理が完了するのを待機しています。」 アクションが失敗し、ハンドブックの実行が停止します: タイムアウトした場合: 「クエリを実行」アクションの実行中にエラーが発生しました。理由: アクションがタイムアウトしました。期間を絞り込むか、返される結果の数を減らしてください。 1 つ以上のリポジトリが見つからない場合: 「アクション「クエリの実行」の実行エラー。理由: Logpoint で次のリポジトリが見つかりませんでした: {0}。すべてのリポジトリが使用可能であることを確認してください。」.format(見つからなかったリポジトリのカンマ区切りリスト) [カスタム] が選択されているが、[開始時刻] が指定されていない場合: 「アクション「クエリの実行」の実行エラー。理由: 期間で「カスタム」を選択した場合は、「開始時刻」を指定する必要があります。 |
全般 |
| Case Wall テーブル | テーブル名: 「Results」 |
全般 |
エンティティ クエリを実行する
説明
エンティティに基づいて Logpoint でクエリを実行します。現在サポートされているエンティティ タイプ: ユーザー、IP、メールアドレス、URL、ファイル ハッシュ、ホスト名。注: メールアドレスは、メールアドレスの形式に一致するユーザー エンティティです。
アクション パラメータを操作する方法
このアクションにより、エンティティに関連する情報を簡単に取得できます。たとえば、複雑なクエリの作成なしで、指定されたハッシュの影響を受けるエンドポイントのログの量を確認したいというユースケースを解決できます。
Logpoint でこの問題を解決するには、次のクエリを準備する必要があります。("device_ip"="10.0.0.1" or "device_ip"="10.0.0.2") and
("hash"="7694f4a66316e53c8cdd9d9954bd611d" or
"hash"="8264ee52f589f4c0191aa94f87aa1aeb") | chart count() by device_ip
「Execute Entity Query」アクションを使用して同じクエリを作成するには、次のようにアクション パラメータを入力する必要があります。
| クエリ | | chart count() by device_ip |
|---|---|
| IP エンティティキー | device_ip |
| ファイル ハッシュ エンティティ キー | ハッシュ |
| クロス エンティティ オペレーター | AND |
他のフィールドはすべて空欄のままにします。
指定されたハッシュの影響を受けたエンドポイントの数を確認する場合は、「エンティティ クエリを実行」の構成は次のようになります。
| クエリ | | chart count() by device_ip |
|---|---|
| ファイル ハッシュ エンティティ キー | ハッシュ |
この状況では、「Cross Entity Operator」は影響しません。複数の「Entity Keys」が指定されている場合にのみ、クエリに影響するためです。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| クエリ | 文字列 | はい | 実行する必要のあるクエリを指定します。詳しくは、アクションのドキュメントをご覧ください。 | |
| 期間 | DDL | 過去 24 時間 可能な値: 直近 12 時間 過去 24 時間 過去 30 日間 最後 365 日間 カスタム |
はい | クエリの期間を指定します。[カスタム] を選択した場合は、開始時刻も指定する必要があります。終了時刻はデフォルトで現在の時刻が使用されます。 |
| 開始時刻 | 文字列 | いいえ | クエリの開始時刻を指定します。形式: YYYY-MM-DDThh:mm:ssZ またはタイムスタンプ。 |
|
| 終了時刻 | 文字列 | いいえ | クエリの終了時刻を指定します。形式: YYYY-MM-DDThh:mm:ssZ またはタイムスタンプ。何も指定しないと、アクションでは現在の時刻が終了時刻として使用されます。 |
|
| リポジトリ | CSV | いいえ | リポジトリ名のカンマ区切りのリストを指定します。何も指定しない場合、アクションはすべてのリポジトリを検索します。 | |
| IP エンティティキー | 文字列 | いいえ | IP エンティティで使用するキーを指定します。詳しくは、アクションのドキュメントをご覧ください。 | |
| Hostname エンティティ キー | 文字列 | いいえ | . を準備するときに、ホスト名エンティティで使用するキーを指定します。詳しくは、アクションのドキュメントをご覧ください。 | |
| ファイル ハッシュ エンティティ キー | いいえ | ファイル ハッシュ エンティティで使用するキーを指定します。詳しくは、アクションのドキュメントをご覧ください。 | ||
| ユーザー エンティティ キー | いいえ | User エンティティで使用するキーを指定します。詳しくは、アクションのドキュメントをご覧ください。 | ||
| URL エンティティ キー | いいえ | URL エンティティで使用するキーを指定します。詳しくは、アクションのドキュメントをご覧ください。 | ||
| メールアドレス エンティティ キー | いいえ | メールアドレス エンティティで使用するキーを指定します。詳しくは、アクションのドキュメントをご覧ください。 | ||
| エンティティが不足している場合は停止 | チェックボックス | オン | はい | 有効にすると、指定された「.. エンティティキー」のすべてのエンティティ タイプが使用可能になるまで、アクションの実行は開始されません。例: 「IP エンティティ キー」と「ファイル ハッシュ エンティティ キー」が指定されているが、スコープにファイル ハッシュがない場合、このパラメータが有効になっていると、アクションはクエリを実行しません。 |
| クロス エンティティ オペレーター | DDL | または 有効な値: または AND |
はい | 異なるエンティティ タイプ間で使用する論理演算子を指定します。 |
| 返される結果の最大数 | 整数 | 100 | いいえ | 返す結果の数を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト
- ユーザー
- ハッシュ
- URL
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"query_type": "simple",
"rows": [
{
"msg": "2021-01-10 10:27:50 Benchmarker; reporting speed; service=norm_front; actual_mps=1; doable_mps=19096;",
"log_ts": 1610274470,
"actual_mps": "1",
"doable_mps": "19096",
"_type_str": "_tz device_name msg source_name col_type object norm_id service collected_at label device_ip
_enrich_policy action _fromV550 repo_name logpoint_name",
"device_name": "localhost",
"_offset": 48317,
"logpoint_name": "Logpoint",
"action": "reporting speed",
"repo_name": "_logpoint",
"source_name": "/opt/immune/var/log/benchmarker/norm_front.log",
"col_ts": 1610274470,
"_tz": "UTC",
"norm_id": "Logpoint",
"_identifier": "0",
"collected_at": "Logpoint",
"device_ip": "127.0.0.1",
"service": "norm_front",
"_fromV550": "t",
"_enrich_policy": "None",
"_type_num": "actual_mps doable_mps col_ts sig_id log_ts _offset _identifier",
"_type_ip": "device_ip",
"sig_id": "10505",
"col_type": "filesystem",
"object": "Benchmarker",
"_labels": [
"Logpoint",
"Benchmarker"
]
}
],
"version": 6,
"extracted_terms": [],
"time_range": [
1609496280,
1610274480
],
"orig_search_id": "9acac4a0-e530-4a19-a446-e17d4d9f8aae",
"success": true,
"final": true,
"totalPages": 1,
"estim_count": 185003,
"complete": true,
"status": {
"Logpoint": {
"default": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 3,
"final": true
},
"_logpoint": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 185000,
"final": true
},
"LogSource1": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
},
"_LogpointAlerts": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
}
}
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 すべてのリクエストで success == true であっても結果がない場合(is_success=false): 「指定されたクエリのデータが見つかりませんでした。」 少なくとも 1 つのリクエストで success == false の場合(is_success = false): 「アクションはクエリを正常に実行し、Logpoint から結果を取得できませんでした。理由: {0}」.format(message) 非同期メッセージ 「Logpoint でクエリの処理が完了するのを待機しています。」 [Stop If Not Enough Entities] が有効になっていて、指定された [Entity Keys] に十分なエンティティ タイプがない場合(is_success=false): 指定された [.. Entity Keys] に十分なエンティティ タイプが指定されていないため、アクションでクエリを作成できませんでした。「Stop If Not Enough Entities」パラメータを無効にするか、指定された「.. Entity Key」ごとに少なくとも 1 つのエンティティを指定してください。 アクションが失敗し、ハンドブックの実行が停止します: タイムアウトした場合: 「エンティティ クエリを実行」アクションの実行中にエラーが発生しました。理由: アクションがタイムアウトしました。期間を絞り込むか、返す結果の数を減らしてください。 少なくとも 1 つのリポジトリが見つからない場合: 「Entity」キーが指定されていない場合: 「エンティティ クエリを実行」アクションの実行中にエラーが発生しました。理由: 「.. エンティティキー」パラメータを少なくとも 1 つ指定してください。 [カスタム] が選択されているが、[開始時刻] が指定されていない場合: 「アクション「エンティティ クエリを実行」の実行エラー。理由: 期間で「カスタム」を選択した場合は、「開始時刻」を指定する必要があります。 |
全般 |
ケースウォール テーブル |
テーブル名: 「結果」 レスポンスのすべての列がテーブル列として使用されます。 |
全般 |
リポジトリを一覧表示する
説明
Logpoint で使用可能なリポジトリを一覧表示します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 返されるリポジトリの最大数 | Integer | 100 | いいえ | 返すレポートの数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{
"success": true,
"allowed_repos": [
{
"repo": "default",
"address": "127.0.0.1:5504/default"
},
{
"repo": "_logpoint",
"address": "127.0.0.1:5504/_logpoint"
},
{
"repo": "_LogpointAlerts",
"address": "127.0.0.1:5504/_LogpointAlerts"
},
{
"repo": "LogSource1",
"address": "127.0.0.1:5504/LogSource1"
}
],
"logpoint": [
{
"name": "Logpoint",
"ip": "127.0.0.1"
}
]
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 アクションが失敗し、ハンドブックの実行が停止します: |
一般 |
| Case Wall テーブル | テーブル名: 「Available Repos」 名前 - allowed_repos/repo Address - allowed_repos/address |
全般 |
インシデントのステータスを更新する
説明
Logpoint でインシデントのステータスを更新します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インシデント ID | 文字列 | なし | はい | 更新するインシデントの ID を指定します。 |
| アクション | DLL | 閉じる 有効な値: 解決 閉じる |
はい | インシデントのアクションを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 success== false(is_success = true)の場合: 「Logpoint で ID {1} のインシデントを {0} できませんでした。」.format(resolve/close, incident_id) アクションが失敗し、ハンドブックの実行が停止します。 認証情報が誤っている、サーバーへの接続がないなどの致命的なエラーの場合: "Error executing action "Update Incident Status". 理由: {0}」.format(error.Stacktrace) |
一般 |
コネクタ
ログポイント - インシデント コネクタ
説明
Logpoint からインシデントを取得します。
Google SecOps で Logpoint - Incidents Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | タイプ | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| IP アドレス | 文字列 | https://x.x.x.x | はい | Logpoint インスタンスの IP アドレス。 |
| ユーザー名 | 文字列 | なし | はい | Logpoint アカウントのユーザー名。 |
| シークレット | パスワード | なし | はい | Logpoint アカウントのシークレット。 |
| 最大遡及時間 | 整数 | 1 | いいえ | インシデントを取得した時点からの経過時間数。 |
| 取得する最も低いリスク | 文字列 | なし | いいえ | 取得するインシデントの最小リスク。値は次のいずれかです。 重大、高、中、低。 |
| 取得する最大インシデント数 | Integer | 10 | いいえ | 1 回のコネクタのイテレーションで処理するインシデントの数。 |
| 許可リストを拒否リストとして使用 | チェックボックス | オフ | ○ | 有効にすると、許可リストが拒否リストとして使用されます。 |
| SSL を確認 | チェックボックス | オフ | はい | 有効になっている場合は、Logpoint サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| CA 証明書ファイル | 文字列 | なし | いいえ | Base64 でエンコードされた CA 証明書ファイル。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
| ユーザー フィルタ | CSV | なし | いいえ | インシデントのフィルタリングに使用されるユーザー名のカンマ区切りリスト。有効なユーザーが作成したインシデントのみが取り込まれます。何も指定しない場合、このフィルタは適用されず、コネクタはすべてのユーザーからインシデントを取り込みます。 |
コネクタ ルール
プロキシのサポート
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。