Ponto de registo
Versão da integração: 16.0
Exemplos de utilização
Realizar ações ativas: executar consultas para obter mais informações sobre as entidades.
Configure a integração do Logpoint no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Endereço IP | String | https://x.x.x.x | Sim | Endereço IP da instância do Logpoint. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do Logpoint. |
| Secreto | Palavra-passe | N/A | Sim | Chave da API secreta da conta do Logpoint |
| Ficheiro de certificado da AC | String | N/A | Não | Ficheiro de certificado da AC codificado em Base64. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, verifique se o certificado SSL para a ligação ao servidor Logpoint é válido. |
Ações
Tchim-tchim
Descrição
Teste a conetividade ao Logpoint com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um playbook: A ação deve falhar e parar a execução de um playbook: |
Geral |
Executar consulta
Descrição
Executar consulta de pesquisa no ponto de registo.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Consulta | String | N/A | Sim | Especifique a consulta que tem de ser executada no Logpoint. |
| Intervalo de tempo | LDD | Últimas 24 horas Valores possíveis: Últimas 12 horas Últimas 24 horas Últimos 30 dias Últimos 365 dias Personalizado |
Sim | Especifique o período da consulta. Se a opção "Personalizado" estiver selecionada, também tem de indicar a hora de início e a hora de fim. |
| Hora de início | String | N/A | Não | Especifique a hora de início da consulta. Formato: AAAA-MM-DDThh:mm:ssZ ou indicação de tempo. |
| Hora de fim | String | N/A | Não | Especifique a hora de fim da consulta.Formato: AAAA-MM-DDThh:mm:ssZ ou indicação de tempo. Se não for fornecido nada, a ação usa a hora atual como hora de fim. |
| Repositórios | CSV | N/A | Não | Especifique uma lista de nomes dos repositórios separados por vírgulas. Se não for fornecido nada, a ação vai pesquisar em todos os repositórios. |
| Máximo de resultados a devolver | Número inteiro | 100 | Não | Especifique quantos resultados devem ser devolvidos. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"query_type": "simple",
"rows": [
{
"msg": "2021-01-10 10:27:50 Benchmarker; reporting speed; service=norm_front; actual_mps=1; doable_mps=19096;",
"log_ts": 1610274470,
"actual_mps": "1",
"doable_mps": "19096",
"_type_str": "_tz device_name msg source_name col_type object norm_id service collected_at label device_ip
_enrich_policy action _fromV550 repo_name logpoint_name",
"device_name": "localhost",
"_offset": 48317,
"logpoint_name": "Logpoint",
"action": "reporting speed",
"repo_name": "_logpoint",
"source_name": "/opt/immune/var/log/benchmarker/norm_front.log",
"col_ts": 1610274470,
"_tz": "UTC",
"norm_id": "Logpoint",
"_identifier": "0",
"collected_at": "Logpoint",
"device_ip": "127.0.0.1",
"service": "norm_front",
"_fromV550": "t",
"_enrich_policy": "None",
"_type_num": "actual_mps doable_mps col_ts sig_id log_ts _offset _identifier",
"_type_ip": "device_ip",
"sig_id": "10505",
"col_type": "filesystem",
"object": "Benchmarker",
"_labels": [
"Logpoint",
"Benchmarker"
]
}
],
"version": 6,
"extracted_terms": [],
"time_range": [
1609496280,
1610274480
],
"orig_search_id": "9acac4a0-e530-4a19-a446-e17d4d9f8aae",
"success": true,
"final": true,
"totalPages": 1,
"estim_count": 185003,
"complete": true,
"status": {
"Logpoint": {
"default": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 3,
"final": true
},
"_logpoint": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 185000,
"final": true
},
"LogSource1": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
},
"_LogpointAlerts": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
}
}
}
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se success == true para todos os pedidos, mas não houver resultados (is_success=false): "Não foram encontrados dados para a consulta fornecida." Se success == false para, pelo menos, um pedido (is_success = false): "Não foi possível executar a consulta com êxito e obter resultados do Logpoint. Motivo: {0}".format(message) Mensagem assíncrona "A aguardar que a consulta termine o processamento no Logpoint." A ação deve falhar e parar a execução de um playbook: If timeout: Erro ao executar a ação "Executar consulta". Motivo: a ação atingiu um limite de tempo. Restrinja o período ou diminua a quantidade de resultados a devolver. Se não for encontrado, pelo menos, um repositório: "Erro ao executar a ação "Executar consulta". Motivo: não foram encontrados os seguintes repositórios no ponto de registo: {0}. Certifique-se de que todos os repositórios estão disponíveis.".format(comma-separated list of repos that were not found) Se "Personalizado" estiver selecionado, mas "Hora de início" não for fornecida: "Erro ao executar a ação "Executar consulta". Motivo: tem de indicar a "Hora de início" se a opção "Personalizado" estiver selecionada para o período." |
Geral |
| Tabela de parede da caixa | Nome da tabela: "Resultados" |
Geral |
Execute uma consulta de entidade
Descrição
Execute a consulta no Logpoint com base nas entidades. Tipos de entidades atualmente suportados: utilizador, IP, endereço de email, URL, hash de ficheiro e nome do anfitrião. Nota: o endereço de email é uma entidade de utilizador que corresponde ao formato de endereço de email.
Como trabalhar com parâmetros de ações
Esta ação permite obter facilmente informações relacionadas com entidades. Por exemplo, é possível resolver o exemplo de utilização em que quer ver a quantidade de registos dos pontos finais afetados pelo hash fornecido sem criar consultas complicadas.
Para resolver este problema no Logpoint, tem de preparar a seguinte consulta: ("device_ip"="10.0.0.1" or "device_ip"="10.0.0.2") and
("hash"="7694f4a66316e53c8cdd9d9954bd611d" or
"hash"="8264ee52f589f4c0191aa94f87aa1aeb") | chart count() by device_ip
Para criar a mesma consulta através da ação "Executar consulta de entidade", tem de preencher os parâmetros da ação da seguinte forma:
| Consulta | | chart count() by device_ip |
|---|---|
| Chave da entidade de IP | device_ip |
| Chave da entidade de hash de ficheiro | hash |
| Operador de várias entidades | E |
Todos os outros campos podem ficar vazios.
Se o exemplo de utilização for ver quantos pontos finais foram afetados pelos hashes fornecidos, a configuração da "Execute Entity Query" terá o seguinte aspeto.
| Consulta | | chart count() by device_ip |
|---|---|
| Chave da entidade de hash de ficheiro | hash |
"Cross Entity Operator" nesta situação não tem impacto, porque só afeta a consulta quando são fornecidas várias "Chaves de entidades".
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Consulta | String | Sim | Especifique a consulta que tem de ser executada. Consulte a documentação da ação para ver detalhes. | |
| Intervalo de tempo | LDD | Últimas 24 horas Valores possíveis: Últimas 12 horas Últimas 24 horas Últimos 30 dias Últimos 365 dias Personalizado |
Sim | Especifique o período da consulta. Se a opção "Personalizado" estiver selecionada, também tem de indicar a hora de início. Por predefinição, a hora de fim usa a hora atual. |
| Hora de início | String | Não | Especifique a hora de início da consulta. Formato: AAAA-MM-DDThh:mm:ssZ ou indicação de tempo. |
|
| Hora de fim | String | Não | Especifique a hora de fim da consulta.Formato: AAAA-MM-DDThh:mm:ssZ ou indicação de tempo. Se não for fornecido nada, a ação usa a hora atual como hora de fim. |
|
| Repositórios | CSV | Não | Especifique uma lista de nomes dos repositórios separados por vírgulas. Se não for fornecido nada, a ação vai pesquisar em todos os repositórios. | |
| Chave da entidade de IP | String | Não | Especifique que chave deve ser usada com entidades de IP. Consulte a documentação da ação para ver detalhes. | |
| Chave da entidade de nome do anfitrião | String | Não | Especifique a chave que deve ser usada com as entidades Hostname quando preparar o ficheiro CSV . Consulte a documentação da ação para ver detalhes. | |
| Chave da entidade de hash de ficheiro | Não | Especifique a chave que deve ser usada com entidades de hash de ficheiros. Consulte a documentação da ação para ver detalhes. | ||
| Chave da entidade do utilizador | Não | Especifique que chave deve ser usada com entidades de utilizador. Consulte a documentação da ação para ver detalhes. | ||
| Chave da entidade do URL | Não | Especifique a chave que deve ser usada com entidades de URL. Consulte a documentação da ação para ver detalhes. | ||
| Chave da entidade do endereço de email | Não | Especifique a chave que deve ser usada com as entidades de endereço de email. Consulte a documentação da ação para ver detalhes. | ||
| Stop If Not Enough Entities | Caixa de verificação | Marcado | Sim | Se estiver ativada, a ação não inicia a execução, a menos que todos os tipos de entidades estejam disponíveis para as ".. chaves de entidades" especificadas. Exemplo: se forem especificados "IP Entity Key" e "File Hash Entity Key", mas não existirem hashes de ficheiros no âmbito, se este parâmetro estiver ativado, a ação não executa a consulta. |
| Operador de várias entidades | LDD | OU Valores possíveis: OU E |
Sim | Especifique qual deve ser o operador lógico usado entre diferentes tipos de entidades. |
| Máximo de resultados a devolver | Número inteiro | 100 | Não | Especifique quantos resultados devem ser devolvidos. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Anfitrião
- Utilizador
- Hash
- URL
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"query_type": "simple",
"rows": [
{
"msg": "2021-01-10 10:27:50 Benchmarker; reporting speed; service=norm_front; actual_mps=1; doable_mps=19096;",
"log_ts": 1610274470,
"actual_mps": "1",
"doable_mps": "19096",
"_type_str": "_tz device_name msg source_name col_type object norm_id service collected_at label device_ip
_enrich_policy action _fromV550 repo_name logpoint_name",
"device_name": "localhost",
"_offset": 48317,
"logpoint_name": "Logpoint",
"action": "reporting speed",
"repo_name": "_logpoint",
"source_name": "/opt/immune/var/log/benchmarker/norm_front.log",
"col_ts": 1610274470,
"_tz": "UTC",
"norm_id": "Logpoint",
"_identifier": "0",
"collected_at": "Logpoint",
"device_ip": "127.0.0.1",
"service": "norm_front",
"_fromV550": "t",
"_enrich_policy": "None",
"_type_num": "actual_mps doable_mps col_ts sig_id log_ts _offset _identifier",
"_type_ip": "device_ip",
"sig_id": "10505",
"col_type": "filesystem",
"object": "Benchmarker",
"_labels": [
"Logpoint",
"Benchmarker"
]
}
],
"version": 6,
"extracted_terms": [],
"time_range": [
1609496280,
1610274480
],
"orig_search_id": "9acac4a0-e530-4a19-a446-e17d4d9f8aae",
"success": true,
"final": true,
"totalPages": 1,
"estim_count": 185003,
"complete": true,
"status": {
"Logpoint": {
"default": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 3,
"final": true
},
"_logpoint": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 185000,
"final": true
},
"LogSource1": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
},
"_LogpointAlerts": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
}
}
}
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se success == true para todos os pedidos, mas não houver resultados (is_success=false): "Não foram encontrados dados para a consulta fornecida." Se success == false para, pelo menos, um pedido (is_success = false): "Não foi possível executar a consulta com êxito e obter resultados do Logpoint. Motivo: {0}".format(message) Mensagem assíncrona "A aguardar que a consulta termine o processamento no Logpoint." Se a opção "Parar se não houver entidades suficientes" estiver ativada e não estiverem disponíveis tipos de entidades suficientes para as "Chaves de entidades" fornecidas (is_success=false): não foi possível criar a consulta porque não foram fornecidos tipos de entidades suficientes para as "Chaves de entidades" especificadas. Desative o parâmetro "Stop If Not Enough Entities" ou faculte, pelo menos, uma entidade para cada ".. Entity Key" especificado. A ação deve falhar e parar a execução de um playbook: If timeout: Erro ao executar a ação "Execute Entity Query". Motivo: a ação atingiu um limite de tempo. Restrinja o período ou diminua a quantidade de resultados a devolver. Se não for encontrado, pelo menos, um repositório: Se não forem especificadas chaves "Entity": Erro ao executar a ação "Execute Entity Query". Motivo: especifique, pelo menos, um parâmetro ".. Entity Key". Se "Personalizado" estiver selecionado, mas "Hora de início" não for fornecida: "Erro ao executar a ação "Execute Entity Query". Motivo: tem de indicar a "Hora de início" se a opção "Personalizado" estiver selecionada para o período." |
Geral |
Case Wall Table |
Nome da tabela: "Resultados" Todas as colunas da resposta são usadas como colunas da tabela. |
Geral |
List Repos
Descrição
Liste os repositórios disponíveis no Logpoint.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Máximo de repositórios a devolver | Número inteiro | 100 | Não | Especifique quantos relatórios devem ser devolvidos. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{
"success": true,
"allowed_repos": [
{
"repo": "default",
"address": "127.0.0.1:5504/default"
},
{
"repo": "_logpoint",
"address": "127.0.0.1:5504/_logpoint"
},
{
"repo": "_LogpointAlerts",
"address": "127.0.0.1:5504/_LogpointAlerts"
},
{
"repo": "LogSource1",
"address": "127.0.0.1:5504/LogSource1"
}
],
"logpoint": [
{
"name": "Logpoint",
"ip": "127.0.0.1"
}
]
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um playbook: A ação deve falhar e parar a execução de um manual de soluções: |
Geral |
| Tabela de parede da caixa | Nome da tabela: "Available Repos" Name - allowed_repos/repo Morada – allowed_repos/address |
Geral |
Atualize o estado do incidente
Descrição
Atualize o estado do incidente no Logpoint.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID de incidente | String | N/A | Sim | Especifique o ID do incidente que quer atualizar. |
| Ação | DLL | Fechar Valores possíveis: Resolver Fechar |
Sim | Especifique a ação para o incidente. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um playbook: if success== false(is_success = true): "Action wasn't able to {0} incident with ID {1} in Logpoint.".format(resolve/close, incident_id) A ação deve falhar e parar a execução de um guia interativo: Se ocorrer um erro fatal, como credenciais incorretas, sem ligação ao servidor, ou outro: "Erro ao executar a ação "Atualizar estado do incidente". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Conetor
Logpoint – Conetor de incidentes
Descrição
Extraia incidentes do Logpoint.
Configure o conetor de incidentes do Logpoint no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | escrever | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Endereço IP | String | https://x.x.x.x | Sim | Endereço IP da instância do Logpoint. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do Logpoint. |
| Secreto | Palavra-passe | N/A | Sim | Segredo da conta do Logpoint. |
| Máximo de horas para trás | Número inteiro | 1 | Não | Número de horas a partir das quais obter incidentes. |
| Risco mais baixo para obter | String | N/A | Não | Risco mais baixo dos incidentes a obter. Valores possíveis: Crítica, Elevada, Média e Baixa. |
| Máximo de incidentes a obter | Número inteiro | 10 | Não | Quantos incidentes processar por iteração de conetor. |
| Use a lista de autorizações como uma lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a lista de autorizações é usada como uma lista negra. |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor Logpoint é válido. |
| Ficheiro de certificado da AC | String | N/A | Não | Ficheiro de certificado da AC codificado em Base64. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
| Filtro de utilizador | CSV | N/A | Não | Uma lista separada por vírgulas de nomes de utilizador que são usados para filtrar incidentes. Só são carregados incidentes criados por utilizadores válidos. Se não for fornecido nada, este filtro não é aplicado e o conector carrega incidentes de todos os utilizadores. |
Regras do conetor
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.