日志点
集成版本:16.0
使用场景
执行主动操作 - 执行查询以获取有关实体的更多信息。
在 Google Security Operations 中配置 Logpoint 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| IP 地址 | 字符串 | https://x.x.x.x | 是 | Logpoint 实例的 IP 地址。 |
| 用户名 | 字符串 | 不适用 | 是 | Logpoint 账号的用户名。 |
| Secret | 密码 | 不适用 | 是 | Logpoint 账号的 Secret API 密钥 |
| CA 证书文件 | 字符串 | 不适用 | 否 | Base64 编码的 CA 证书文件。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果启用,则验证与 Logpoint 服务器的连接的 SSL 证书是否有效。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Logpoint 的连接。
参数
不适用
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行: 操作应失败并停止 playbook 执行: |
常规 |
执行查询
说明
在 Logpoint 中执行搜索查询。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 查询 | 字符串 | 不适用 | 是 | 指定需要在日志点中执行的查询。 |
| 时间范围 | DDL | 过去 24 小时 可能的值: 过去 12 小时 过去 24 小时 过去 30 天 过去 365 天 自定义 |
是 | 指定查询的时间范围。如果选择“自定义”,您还需要提供开始时间和结束时间。 |
| 开始时间 | 字符串 | 不适用 | 否 | 指定查询的开始时间。格式: YYYY-MM-DDThh:mm:ssZ 或时间戳。 |
| 结束时间 | 字符串 | 不适用 | 否 | 指定查询的结束时间。格式: YYYY-MM-DDThh:mm:ssZ 或时间戳。如果未提供任何内容,操作将使用当前时间作为结束时间。 |
| 代码库 | CSV | 不适用 | 否 | 指定以英文逗号分隔的仓库名称列表。如果未提供任何内容,操作将在所有代码库中进行搜索。 |
| 要返回的结果数上限 | 整数 | 100 | 否 | 指定应返回多少个结果。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"query_type": "simple",
"rows": [
{
"msg": "2021-01-10 10:27:50 Benchmarker; reporting speed; service=norm_front; actual_mps=1; doable_mps=19096;",
"log_ts": 1610274470,
"actual_mps": "1",
"doable_mps": "19096",
"_type_str": "_tz device_name msg source_name col_type object norm_id service collected_at label device_ip
_enrich_policy action _fromV550 repo_name logpoint_name",
"device_name": "localhost",
"_offset": 48317,
"logpoint_name": "Logpoint",
"action": "reporting speed",
"repo_name": "_logpoint",
"source_name": "/opt/immune/var/log/benchmarker/norm_front.log",
"col_ts": 1610274470,
"_tz": "UTC",
"norm_id": "Logpoint",
"_identifier": "0",
"collected_at": "Logpoint",
"device_ip": "127.0.0.1",
"service": "norm_front",
"_fromV550": "t",
"_enrich_policy": "None",
"_type_num": "actual_mps doable_mps col_ts sig_id log_ts _offset _identifier",
"_type_ip": "device_ip",
"sig_id": "10505",
"col_type": "filesystem",
"object": "Benchmarker",
"_labels": [
"Logpoint",
"Benchmarker"
]
}
],
"version": 6,
"extracted_terms": [],
"time_range": [
1609496280,
1610274480
],
"orig_search_id": "9acac4a0-e530-4a19-a446-e17d4d9f8aae",
"success": true,
"final": true,
"totalPages": 1,
"estim_count": 185003,
"complete": true,
"status": {
"Logpoint": {
"default": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 3,
"final": true
},
"_logpoint": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 185000,
"final": true
},
"LogSource1": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
},
"_LogpointAlerts": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
}
}
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果所有请求的 success 均为 true,但没有结果 (is_success=false):“未找到与所提供查询相符的数据。” 如果至少有一个请求的 success 为 false(is_success = false):“操作无法成功执行查询并从 Logpoint 检索结果。原因:{0}".format(message) 异步消息 “等待 Logpoint 中的查询完成处理。” 操作应失败并停止 playbook 执行: 如果超时: 执行“执行查询”操作时出错。原因:操作超时。请缩小时间范围或减少要返回的结果数量。 如果至少一个代码库未找到: “执行操作‘执行查询’时出错。原因:在 Logpoint 中未找到以下代码库:{0}。请确保所有代码库均可用。".format(comma-separated list of repos that were not found) 如果选择了“自定义”,但未提供“开始时间”: “执行操作‘执行查询’时出错。原因:如果为时间范围选择“自定义”,则需要提供“开始时间”。 |
常规 |
| “案例墙”表格 | 表名称:“Results” |
常规 |
执行实体查询
说明
在 Logpoint 中基于实体执行查询。目前支持的实体类型:用户、IP、电子邮件地址、网址、文件哈希、主机名。注意:电子邮件地址是符合电子邮件地址格式的用户实体。
如何使用操作参数
此操作可让您轻松检索与实体相关的信息。例如,您可以解决以下使用情形:您希望查看受所提供哈希影响的端点的日志量,而无需构建任何复杂的查询。
如需在 Logpoint 中解决此问题,您需要准备以下查询:("device_ip"="10.0.0.1" or "device_ip"="10.0.0.2") and
("hash"="7694f4a66316e53c8cdd9d9954bd611d" or
"hash"="8264ee52f589f4c0191aa94f87aa1aeb") | chart count() by device_ip
如需使用“执行实体查询”操作创建相同的查询,您需要按以下方式填写操作参数:
| 查询 | | chart count() by device_ip |
|---|---|
| IP 实体键 | device_ip |
| 文件哈希实体键 | 哈希 |
| 跨实体运算符 | 且 |
所有其他字段均可留空。
如果用例是查看有多少端点受到所提供哈希的影响,那么“执行实体查询”的配置将如下所示。
| 查询 | | chart count() by device_ip |
|---|---|
| 文件哈希实体键 | 哈希 |
在这种情况下,“跨实体运算符”不会产生影响,因为它仅在提供多个“实体键”时影响查询。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 查询 | 字符串 | 是 | 指定需要执行的查询。如需了解详情,请参阅操作文档。 | |
| 时间范围 | DDL | 过去 24 小时 可能的值: 过去 12 小时 过去 24 小时 过去 30 天 过去 365 天 自定义 |
是 | 指定查询的时间范围。如果选择“自定义”,您还需要提供开始时间,结束时间默认使用当前时间。 |
| 开始时间 | 字符串 | 否 | 指定查询的开始时间。格式: YYYY-MM-DDThh:mm:ssZ 或时间戳。 |
|
| 结束时间 | 字符串 | 否 | 指定查询的结束时间。格式: YYYY-MM-DDThh:mm:ssZ 或时间戳。如果未提供任何内容,操作将使用当前时间作为结束时间。 |
|
| 代码库 | CSV | 否 | 指定以英文逗号分隔的仓库名称列表。如果未提供任何内容,操作将在所有代码库中进行搜索。 | |
| IP 实体键 | 字符串 | 否 | 指定应将哪个键与 IP 实体搭配使用。如需了解详情,请参阅操作文档。 | |
| 主机名实体键 | 字符串 | 否 | 在准备时,指定应将哪个键与 Hostname 实体搭配使用。如需了解详情,请参阅操作文档。 | |
| 文件哈希实体键 | 否 | 指定应将哪个键与文件哈希实体搭配使用。如需了解详情,请参阅操作文档。 | ||
| 用户实体键 | 否 | 指定应与 User 实体搭配使用的键。如需了解详情,请参阅操作文档。 | ||
| 网址实体键 | 否 | 指定应将哪个键与网址实体搭配使用。如需了解详情,请参阅操作文档。 | ||
| 电子邮件地址实体键 | 否 | 指定应与电子邮件地址实体搭配使用的密钥。如需了解详情,请参阅操作文档。 | ||
| 如果实体数量不足,则停止 | 复选框 | 勾选 | 是 | 如果启用,除非所有实体类型都可用于指定的“.. 实体键”,否则操作不会开始执行。示例:如果指定了“IP 实体键”和“文件哈希实体键”,但在范围内没有文件哈希,则如果启用此参数,操作将不会执行查询。 |
| 跨实体运算符 | DDL | 或 可能的值: 或 且 |
是 | 指定不同实体类型之间应使用的逻辑运算符。 |
| 要返回的结果数上限 | 整数 | 100 | 否 | 指定应返回多少个结果。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机
- 用户
- 哈希
- 网址
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"query_type": "simple",
"rows": [
{
"msg": "2021-01-10 10:27:50 Benchmarker; reporting speed; service=norm_front; actual_mps=1; doable_mps=19096;",
"log_ts": 1610274470,
"actual_mps": "1",
"doable_mps": "19096",
"_type_str": "_tz device_name msg source_name col_type object norm_id service collected_at label device_ip
_enrich_policy action _fromV550 repo_name logpoint_name",
"device_name": "localhost",
"_offset": 48317,
"logpoint_name": "Logpoint",
"action": "reporting speed",
"repo_name": "_logpoint",
"source_name": "/opt/immune/var/log/benchmarker/norm_front.log",
"col_ts": 1610274470,
"_tz": "UTC",
"norm_id": "Logpoint",
"_identifier": "0",
"collected_at": "Logpoint",
"device_ip": "127.0.0.1",
"service": "norm_front",
"_fromV550": "t",
"_enrich_policy": "None",
"_type_num": "actual_mps doable_mps col_ts sig_id log_ts _offset _identifier",
"_type_ip": "device_ip",
"sig_id": "10505",
"col_type": "filesystem",
"object": "Benchmarker",
"_labels": [
"Logpoint",
"Benchmarker"
]
}
],
"version": 6,
"extracted_terms": [],
"time_range": [
1609496280,
1610274480
],
"orig_search_id": "9acac4a0-e530-4a19-a446-e17d4d9f8aae",
"success": true,
"final": true,
"totalPages": 1,
"estim_count": 185003,
"complete": true,
"status": {
"Logpoint": {
"default": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 3,
"final": true
},
"_logpoint": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 185000,
"final": true
},
"LogSource1": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
},
"_LogpointAlerts": {
"@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
"estim_count": 0,
"final": true
}
}
}
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果所有请求的 success 均为 true,但没有结果 (is_success=false):“未找到与所提供查询相符的数据。” 如果至少有一个请求的 success 为 false(is_success = false):“操作无法成功执行查询并从 Logpoint 检索结果。原因:{0}".format(message) 异步消息 “等待 Logpoint 中的查询完成处理。” 如果启用了“Stop If Not Enough Entities”(如果实体不足则停止)且提供的“Entity Keys”(实体键)没有足够的实体类型(is_success=false):操作无法构建查询,因为为指定的“.. Entity Keys”(实体键)提供的实体类型不足。请停用“Stop If Not Enough Entities”参数,或为每个指定的“.. Entity Key”提供至少一个实体。 操作应失败并停止 playbook 执行: 如果超时: 执行操作“执行实体查询”时出错。原因:操作超时。请缩小时间范围或减少要返回的结果数量。 如果找不到至少一个代码库: 如果未指定任何“实体”键: 执行操作“执行实体查询”时出错。原因:请至少指定一个“.. 实体键”参数。 如果选择了“自定义”,但未提供“开始时间”: “执行操作“执行实体查询”时出错。原因:如果为时间范围选择“自定义”,则需要提供“开始时间”。 |
常规 |
案例墙表格 |
表格名称:“Results” 响应中的所有列都将用作表格列。 |
常规 |
列出代码库
说明
列出日志点中的可用代码库。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 要返回的代码库数量上限 | 整数 | 100 | 否 | 指定应返回多少个报告。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 结果
{
"success": true,
"allowed_repos": [
{
"repo": "default",
"address": "127.0.0.1:5504/default"
},
{
"repo": "_logpoint",
"address": "127.0.0.1:5504/_logpoint"
},
{
"repo": "_LogpointAlerts",
"address": "127.0.0.1:5504/_LogpointAlerts"
},
{
"repo": "LogSource1",
"address": "127.0.0.1:5504/LogSource1"
}
],
"logpoint": [
{
"name": "Logpoint",
"ip": "127.0.0.1"
}
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 该操作不应失败,也不应停止 playbook 执行: 操作应失败并停止 playbook 执行: |
常规 |
| “案例墙”表格 | 表格名称:“可用代码库” 名称 - allowed_repos/repo 地址 - allowed_repos/address |
常规 |
更新突发事件状态
说明
在 Logpoint 中更新突发事件状态。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 突发事件 ID | 字符串 | 不适用 | 是 | 指定要更新的突发事件的 ID。 |
| 操作 | DLL | 关闭 可能的值: 解决 关闭 |
是 | 指定突发事件的操作。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: if success== false(is_success = true): "Action wasn't able to {0} incident with ID {1} in Logpoint.".format(resolve/close, incident_id) 操作应失败并停止 playbook 执行: 如果出现致命错误(例如凭据错误、无法连接到服务器等):“执行操作‘更新突发事件状态’时出错。原因:{0}''.format(error.Stacktrace) |
常规 |
连接器
日志点 - 事件连接器
说明
从 Logpoint 拉取突发事件。
在 Google SecOps 中配置 Logpoint - Incidents 连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | 类型 | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| IP 地址 | 字符串 | https://x.x.x.x | 是 | Logpoint 实例的 IP 地址。 |
| 用户名 | 字符串 | 不适用 | 是 | Logpoint 账号的用户名。 |
| Secret | 密码 | 不适用 | 是 | Logpoint 账号的密文。 |
| 回溯的小时数上限 | 整数 | 1 | 否 | 提取事件的小时数。 |
| 最低提取风险 | 字符串 | 不适用 | 否 | 要提取的事件的最低风险。可能的值: 极高、高、中、低。 |
| 要提取的突发事件数上限 | 整数 | 10 | 否 | 每次连接器迭代要处理的事件数量。 |
| 将白名单用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,白名单将用作黑名单。 |
| 验证 SSL | 复选框 | 尚未核查 | 是 | 如果启用,则验证与 Logpoint 服务器的连接所用的 SSL 证书是否有效。 |
| CA 证书文件 | 字符串 | 不适用 | 否 | Base64 编码的 CA 证书文件。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
| 用户过滤条件 | CSV | 不适用 | 否 | 用于过滤掉突发事件的用户名列表(以英文逗号分隔)。系统仅会提取有效用户创建的突发事件。如果未提供任何内容,则不会应用此过滤条件,连接器会从所有用户处提取事件。 |
连接器规则
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。