本頁面由 Cloud Translation API 翻譯而成。

記錄點

整合版本：16.0

應用實例

執行主動動作：執行查詢，取得實體的詳細資訊。

在 Google Security Operations 中設定 Logpoint 整合

如需在 Google SecOps 中設定整合功能的詳細操作說明，請參閱「設定整合功能」。

整合參數

請使用下列參數設定整合：

參數顯示名稱	類型	預設值	為必填項目	說明
IP 位址	字串	https://x.x.x.x	是	Logpoint 執行個體的 IP 位址。
使用者名稱	字串	不適用	是	Logpoint 帳戶的使用者名稱。
密鑰	密碼	不適用	是	Logpoint 帳戶的 Secret API 金鑰
CA 憑證檔案	字串	不適用	否	Base64 編碼的 CA 憑證檔案。
驗證 SSL	核取方塊	已勾選	是	如果啟用這項設定，請確認連線至 Logpoint 伺服器的 SSL 憑證有效。

動作

乒乓

說明

使用 Google Security Operations Marketplace 分頁整合設定頁面提供的參數，測試與 Logpoint 的連線。

參數

不適用

執行時間

動作不會在實體上執行，也沒有強制輸入參數。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項
is_success	is_success=False
is_success	is_success=True

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止劇本執行：如果成功：「Successfully connected to the Logpoint server with the provided connection parameters!」(已使用提供的連線參數成功連線至 Logpoint 伺服器！) 動作應會失敗並停止執行劇本：如果未成功：「Failed to connect to the Logpoint server! Error is {0}".format(exception.stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止劇本執行：
如果成功：「Successfully connected to the Logpoint server with the provided connection parameters!」(已使用提供的連線參數成功連線至 Logpoint 伺服器！)

動作應會失敗並停止執行劇本：
如果未成功：「Failed to connect to the Logpoint server! Error is {0}".format(exception.stacktrace)

一般

執行查詢

說明

在記錄點中執行搜尋查詢。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
查詢	字串	不適用	是	指定要在記錄點執行的查詢。
時間範圍	DDL	最近 24 小時可能的值：過去一小時過去 12 小時最近 24 小時過去 30 天過去 365 天自訂	是	指定查詢的時間範圍。如果選取「自訂」，您也需要提供開始時間和結束時間。
開始時間	字串	不適用	否	指定查詢的開始時間。格式： YYYY-MM-DDThh:mm:ssZ 或時間戳記。
結束時間	字串	不適用	否	指定查詢的結束時間。格式： YYYY-MM-DDThh:mm:ssZ 或時間戳記。如未提供任何內容，動作會使用目前時間做為結束時間。
存放區	CSV	不適用	否	以半形逗號分隔指定存放區名稱清單。如未提供任何內容，動作會在所有存放區中搜尋。
要傳回的結果數量上限	整數	100	否	指定應傳回的結果數量。

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項
is_success	is_success=False
is_success	is_success=True

JSON 結果

{
    "query_type": "simple",
    "rows": [
        {
            "msg": "2021-01-10 10:27:50 Benchmarker; reporting speed; service=norm_front; actual_mps=1; doable_mps=19096;",
            "log_ts": 1610274470,
            "actual_mps": "1",
            "doable_mps": "19096",
            "_type_str": "_tz device_name msg source_name col_type object norm_id service collected_at label device_ip
    _enrich_policy action _fromV550 repo_name logpoint_name",
    "device_name": "localhost",
            "_offset": 48317,
            "logpoint_name": "Logpoint",
            "action": "reporting speed",
            "repo_name": "_logpoint",
            "source_name": "/opt/immune/var/log/benchmarker/norm_front.log",
            "col_ts": 1610274470,
            "_tz": "UTC",
            "norm_id": "Logpoint",
            "_identifier": "0",
            "collected_at": "Logpoint",
            "device_ip": "127.0.0.1",
            "service": "norm_front",
            "_fromV550": "t",
            "_enrich_policy": "None",
            "_type_num": "actual_mps doable_mps col_ts sig_id log_ts _offset _identifier",
            "_type_ip": "device_ip",
            "sig_id": "10505",
            "col_type": "filesystem",
            "object": "Benchmarker",
            "_labels": [
                "Logpoint",
                "Benchmarker"
            ]
        }
    ],
    "version": 6,
    "extracted_terms": [],
    "time_range": [
        1609496280,
        1610274480
    ],
    "orig_search_id": "9acac4a0-e530-4a19-a446-e17d4d9f8aae",
    "success": true,
    "final": true,
    "totalPages": 1,
    "estim_count": 185003,
    "complete": true,
    "status": {
        "Logpoint": {
            "default": {
                "@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
                "estim_count": 3,
                "final": true
            },
            "_logpoint": {
                "@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
                "estim_count": 185000,
                "final": true
            },
            "LogSource1": {
                "@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
                "estim_count": 0,
                "final": true
            },
            "_LogpointAlerts": {
                "@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
                "estim_count": 0,
                "final": true
            }
        }
    }
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止劇本執行：如果所有要求都成功 (is_success = true)：「Successfully executed query and retrieved results from Logpoint」(已成功執行查詢並從 Logpoint 擷取結果)。如果所有要求的 success == true，但沒有結果 (is_success=false)：「找不到符合所提供查詢條件的資料。」如果至少有一個要求失敗 (is_success = false)：「Action wasn't able to successfully execute query and retrieve results from Logpoint. 原因：{0}".format(message) 非同步訊息「正在等待 Logpoint 處理完查詢。」動作應會失敗並停止執行劇本：如果發生重大錯誤，例如認證錯誤、無法連線至伺服器等：「Error executing action "Execute Query". 原因：{0}''.format(error.Stacktrace) 如果逾時：執行「執行查詢」動作時發生錯誤。原因：動作逾時。請縮小時間範圍或減少要傳回的結果數量。如果找不到至少一個存放區：「執行動作『執行查詢』時發生錯誤。原因：Logpoint 中找不到下列存放區：{0}。請確認所有存放區都可供使用。".format(comma-separated list of repos that were not found) 如果選取「自訂」，但未提供「開始時間」：「執行動作『執行查詢』時發生錯誤。原因：如果時間範圍選取「自訂」，則必須提供「開始時間」。	一般
案件總覽表格	資料表名稱：「Results」回應中的所有資料欄都會做為資料表資料欄。	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止劇本執行：
如果所有要求都成功 (is_success = true)：「Successfully executed query and retrieved results from Logpoint」(已成功執行查詢並從 Logpoint 擷取結果)。

如果所有要求的 success == true，但沒有結果 (is_success=false)：「找不到符合所提供查詢條件的資料。」

如果至少有一個要求失敗 (is_success = false)：「Action wasn't able to successfully execute query and retrieve results from Logpoint. 原因：{0}".format(message)

非同步訊息

「正在等待 Logpoint 處理完查詢。」

動作應會失敗並停止執行劇本：
如果發生重大錯誤，例如認證錯誤、無法連線至伺服器等：「Error executing action "Execute Query". 原因：{0}''.format(error.Stacktrace)

如果逾時：

執行「執行查詢」動作時發生錯誤。原因：動作逾時。請縮小時間範圍或減少要傳回的結果數量。

如果找不到至少一個存放區：

「執行動作『執行查詢』時發生錯誤。原因：Logpoint 中找不到下列存放區：{0}。請確認所有存放區都可供使用。".format(comma-separated list of repos that were not found)

如果選取「自訂」，但未提供「開始時間」：

「執行動作『執行查詢』時發生錯誤。原因：如果時間範圍選取「自訂」，則必須提供「開始時間」。

一般

案件總覽表格

資料表名稱：「Results」

回應中的所有資料欄都會做為資料表資料欄。

一般

執行實體查詢

說明

根據實體在 Logpoint 中執行查詢。目前支援的實體類型：使用者、IP、電子郵件地址、網址、檔案雜湊、主機名稱。注意：電子郵件地址是符合電子郵件地址格式的使用者實體。

如何使用動作參數

這項動作可讓您輕鬆擷取與實體相關的資訊。舉例來說，您可能想查看受指定雜湊影響的端點記錄數量，但不想建立複雜的查詢，這時就能使用這項功能。

如要在 Logpoint 中解決這個問題，請準備下列查詢：("device_ip"="10.0.0.1" or "device_ip"="10.0.0.2") and ("hash"="7694f4a66316e53c8cdd9d9954bd611d" or "hash"="8264ee52f589f4c0191aa94f87aa1aeb") | chart count() by device_ip

如要使用「執行實體查詢」動作建立相同查詢，請依下列方式填寫動作參數：

查詢	\| chart count() by device_ip
IP 實體金鑰	device_ip
檔案雜湊實體金鑰	hash
跨實體運算子	且

其他欄位則可留空。

如果想瞭解有多少端點受到所提供雜湊的影響，則「執行實體查詢」的設定如下所示。

查詢	\| chart count() by device_ip
檔案雜湊實體金鑰	hash

在這種情況下，「跨實體運算子」不會有影響，因為只有在提供多個「實體鍵」時，才會影響查詢。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
查詢	字串		是	指定要執行的查詢。詳情請參閱動作說明文件。
時間範圍	DDL	最近 24 小時可能的值：過去一小時過去 12 小時最近 24 小時過去 30 天過去 365 天自訂	是	指定查詢的時間範圍。如果選取「自訂」，您也需要提供開始時間，結束時間預設為目前時間。
開始時間	字串		否	指定查詢的開始時間。格式： YYYY-MM-DDThh:mm:ssZ 或時間戳記。
結束時間	字串		否	指定查詢的結束時間。格式： YYYY-MM-DDThh:mm:ssZ 或時間戳記。如未提供任何內容，動作會使用目前時間做為結束時間。
存放區	CSV		否	以半形逗號分隔指定存放區名稱清單。如未提供任何內容，動作會在所有存放區中搜尋。
IP 實體金鑰	字串		否	指定要搭配 IP 實體使用的金鑰。詳情請參閱動作說明文件。
主機名稱實體鍵	字串		否	準備 . 檔案時，請指定應搭配主機名稱實體使用的金鑰。詳情請參閱動作說明文件。
檔案雜湊實體金鑰			否	指定要與檔案雜湊實體搭配使用的金鑰。詳情請參閱動作說明文件。
使用者實體鍵			否	指定要搭配使用者實體使用的鍵。詳情請參閱動作說明文件。
網址實體鍵			否	指定要搭配網址實體使用的金鑰。詳情請參閱動作說明文件。
電子郵件地址實體鍵			否	指定要搭配電子郵件地址實體使用的金鑰。詳情請參閱動作說明文件。
Stop If Not Enough Entities	核取方塊	已勾選	是	如果啟用這項設定，除非指定「.. 實體鍵」的所有實體類型都適用，否則動作不會開始執行。舉例來說，如果指定「IP 實體鍵」和「檔案雜湊實體鍵」，但範圍內沒有檔案雜湊，則啟用這個參數後，動作不會執行查詢。
跨實體運算子	DDL	或可能的值：或且	是	指定不同實體類型之間應使用的邏輯運算子。
要傳回的結果數量上限	整數	100	否	指定應傳回的結果數量。

執行時間

這項動作會對下列實體執行：

IP 位址
主機
使用者
雜湊
網址

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項
is_success	is_success=False
is_success	is_success=True

JSON 結果

{
    "query_type": "simple",
    "rows": [
        {
            "msg": "2021-01-10 10:27:50 Benchmarker; reporting speed; service=norm_front; actual_mps=1; doable_mps=19096;",
            "log_ts": 1610274470,
            "actual_mps": "1",
            "doable_mps": "19096",
            "_type_str": "_tz device_name msg source_name col_type object norm_id service collected_at label device_ip
    _enrich_policy action _fromV550 repo_name logpoint_name",
    "device_name": "localhost",
            "_offset": 48317,
            "logpoint_name": "Logpoint",
            "action": "reporting speed",
            "repo_name": "_logpoint",
            "source_name": "/opt/immune/var/log/benchmarker/norm_front.log",
            "col_ts": 1610274470,
            "_tz": "UTC",
            "norm_id": "Logpoint",
            "_identifier": "0",
            "collected_at": "Logpoint",
            "device_ip": "127.0.0.1",
            "service": "norm_front",
            "_fromV550": "t",
            "_enrich_policy": "None",
            "_type_num": "actual_mps doable_mps col_ts sig_id log_ts _offset _identifier",
            "_type_ip": "device_ip",
            "sig_id": "10505",
            "col_type": "filesystem",
            "object": "Benchmarker",
            "_labels": [
                "Logpoint",
                "Benchmarker"
            ]
        }
    ],
    "version": 6,
    "extracted_terms": [],
    "time_range": [
        1609496280,
        1610274480
    ],
    "orig_search_id": "9acac4a0-e530-4a19-a446-e17d4d9f8aae",
    "success": true,
    "final": true,
    "totalPages": 1,
    "estim_count": 185003,
    "complete": true,
    "status": {
        "Logpoint": {
            "default": {
                "@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
                "estim_count": 3,
                "final": true
            },
            "_logpoint": {
                "@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
                "estim_count": 185000,
                "final": true
            },
            "LogSource1": {
                "@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
                "estim_count": 0,
                "final": true
            },
            "_LogpointAlerts": {
                "@class": "com.logpoint.libcommon.merger.api.SimpleStatus",
                "estim_count": 0,
                "final": true
            }
        }
    }
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止劇本執行：如果所有要求都成功 (is_success = true)：「Successfully executed query and retrieved results from Logpoint」(已成功執行查詢並從 Logpoint 擷取結果)。如果所有要求的 success == true，但沒有結果 (is_success=false)：「找不到符合所提供查詢條件的資料。」如果至少有一個要求失敗 (is_success = false)：「Action wasn't able to successfully execute query and retrieve results from Logpoint. 原因：{0}".format(message) 非同步訊息「正在等待 Logpoint 處理完查詢。」如果啟用「Stop If Not Enough Entities」(實體不足時停止)，但提供的「Entity Keys」(實體鍵) 沒有足夠的實體類型 (is_success=false)：動作無法建構查詢，因為指定的「.. Entity Keys」沒有足夠的實體類型。請停用「Stop If Not Enough Entities」參數，或為每個指定的「.. Entity Key」至少提供一個實體。動作應會失敗並停止執行劇本：如果發生重大錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「Error executing action "Execute Entity Query". 原因：{0}''.format(error.Stacktrace) 如果逾時：執行「執行實體查詢」動作時發生錯誤。原因：動作逾時。請縮小時間範圍或減少要傳回的結果數量。如果找不到至少一個存放區：「Error executing action "Execute Entity Query". 原因：Logpoint 中找不到下列存放區：{0}。請確認所有存放區都可供使用。".format(comma-separated list of repos that were not found) 如未指定「實體」鍵：執行「執行實體查詢」動作時發生錯誤。原因：請至少指定一個「.. Entity Key」參數。如果選取「自訂」，但未提供「開始時間」：「執行動作『執行實體查詢』時發生錯誤。原因：如果時間範圍選取「自訂」，則必須提供「開始時間」。	一般
案件牆表格	表格名稱：「Results」回應中的所有資料欄都會做為表格資料欄。	一般

結果類型

值 / 說明

類型

輸出訊息*

如果所有要求的 success == true，但沒有結果 (is_success=false)：「找不到符合所提供查詢條件的資料。」

如果至少有一個要求失敗 (is_success = false)：「Action wasn't able to successfully execute query and retrieve results from Logpoint. 原因：{0}".format(message)

非同步訊息

「正在等待 Logpoint 處理完查詢。」

如果啟用「Stop If Not Enough Entities」(實體不足時停止)，但提供的「Entity Keys」(實體鍵) 沒有足夠的實體類型 (is_success=false)：動作無法建構查詢，因為指定的「.. Entity Keys」沒有足夠的實體類型。請停用「Stop If Not Enough Entities」參數，或為每個指定的「.. Entity Key」至少提供一個實體。

動作應會失敗並停止執行劇本：
如果發生重大錯誤，例如憑證錯誤、無法連線至伺服器或其他錯誤：「Error executing action "Execute Entity Query". 原因：{0}''.format(error.Stacktrace)

如果逾時：

執行「執行實體查詢」動作時發生錯誤。原因：動作逾時。請縮小時間範圍或減少要傳回的結果數量。

如果找不到至少一個存放區：
「Error executing action "Execute Entity Query". 原因：Logpoint 中找不到下列存放區：{0}。請確認所有存放區都可供使用。".format(comma-separated list of repos that were not found)

如未指定「實體」鍵：

執行「執行實體查詢」動作時發生錯誤。原因：請至少指定一個「.. Entity Key」參數。

如果選取「自訂」，但未提供「開始時間」：

「執行動作『執行實體查詢』時發生錯誤。原因：如果時間範圍選取「自訂」，則必須提供「開始時間」。

一般

案件牆表格

表格名稱：「Results」

回應中的所有資料欄都會做為表格資料欄。

一般

列出存放區

說明

列出 Logpoint 中可用的存放區。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
要傳回的存放區數量上限	整數	100	否	指定要傳回的報表數量。

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項
is_success	is_success=False
is_success	is_success=True

JSON 結果

{
    "success": true,
    "allowed_repos": [
        {
            "repo": "default",
            "address": "127.0.0.1:5504/default"
        },
        {
            "repo": "_logpoint",
            "address": "127.0.0.1:5504/_logpoint"
        },
        {
            "repo": "_LogpointAlerts",
            "address": "127.0.0.1:5504/_LogpointAlerts"
        },
        {
            "repo": "LogSource1",
            "address": "127.0.0.1:5504/LogSource1"
        }
    ],
    "logpoint": [
        {
            "name": "Logpoint",
            "ip": "127.0.0.1"
        }
    ]
}

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不應失敗，也不應停止劇本執行： if success == true (is_success = true):「Successfully retrieve available repos query from Logpoint」。動作應會失敗並停止執行劇本：如果發生重大錯誤，例如憑證錯誤、無法連線至伺服器等：「Error executing action "List Repos" (執行「列出存放區」動作時發生錯誤)。原因：{0}''.format(error.Stacktrace)	一般
案件總覽表格	表格名稱：「Available Repos」名稱 - allowed_repos/repo 地址 - allowed_repos/address	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不應失敗，也不應停止劇本執行：
if success == true (is_success = true):「Successfully retrieve available repos query from Logpoint」。

動作應會失敗並停止執行劇本：
如果發生重大錯誤，例如憑證錯誤、無法連線至伺服器等：「Error executing action "List Repos" (執行「列出存放區」動作時發生錯誤)。原因：{0}''.format(error.Stacktrace)

一般

案件總覽表格

表格名稱：「Available Repos」

名稱 - allowed_repos/repo

地址 - allowed_repos/address

一般

更新事件狀態

說明

在記錄點更新事件狀態。

參數

參數顯示名稱	類型	預設值	為必填項目	說明
事件 ID	字串	不適用	是	指定要更新的事件 ID。
動作	DLL	關閉可能的值：解決關閉	是	指定事件的動作。

參數顯示名稱

類型

預設值

為必填項目

說明

事件 ID

字串

不適用

是

指定要更新的事件 ID。

動作

DLL

關閉

可能的值：

解決

關閉

是

指定事件的動作。

執行時間

這項操作不會對實體執行。

動作執行結果

指令碼執行結果

指令碼結果名稱	值選項
is_success	is_success=False
is_success	is_success=True

案件總覽

結果類型	值 / 說明	類型
輸出訊息*	動作不得失敗或停止劇本執行： if success== true (is_success = true): "Successfully {0} incident with ID {1} in Logpoint.".format(resolved/closed, incident_id) if success== false(is_success = true): "Action wasn't able to {0} incident with ID {1} in Logpoint.".format(resolve/close, incident_id) 動作應會失敗並停止執行應對手冊：如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他問題：「Error executing action "Update Incident Status". 原因：{0}''.format(error.Stacktrace)	一般

結果類型

值 / 說明

類型

輸出訊息*

動作不得失敗或停止劇本執行：
if success== true (is_success = true): "Successfully {0} incident with ID {1} in Logpoint.".format(resolved/closed, incident_id)

if success== false(is_success = true): "Action wasn't able to {0} incident with ID {1} in Logpoint.".format(resolve/close, incident_id)

動作應會失敗並停止執行應對手冊：

如果發生嚴重錯誤，例如憑證錯誤、無法連線至伺服器或其他問題：「Error executing action "Update Incident Status". 原因：{0}''.format(error.Stacktrace)

一般

連接器

記錄點 - 事件連接器

說明

從 Logpoint 提取事件。

在 Google SecOps 中設定記錄點 - 事件連接器

如需在 Google SecOps 中設定連接器的詳細操作說明，請參閱設定連接器。

連接器參數

請使用下列參數設定連接器：

參數顯示名稱	類型	預設值	為必填項目	說明
產品欄位名稱	字串	產品名稱	是	輸入來源欄位名稱，即可擷取產品欄位名稱。
事件欄位名稱	字串	類型	是	輸入來源欄位名稱，即可擷取事件欄位名稱。
環境欄位名稱	字串	""	否	說明儲存環境名稱的欄位名稱。如果找不到環境欄位，環境就是預設環境。
環境規則運算式模式	字串	.*	否	要對「環境欄位名稱」欄位中的值執行的 regex 模式。預設值為 .*，可擷取所有內容並傳回未變更的值。用於允許使用者透過規則運算式邏輯操控環境欄位。如果 regex 模式為空值或空白，或環境值為空值，最終環境結果就是預設環境。
指令碼逾時 (秒)	整數	180	是	執行目前指令碼的 Python 程序逾時限制。
IP 位址	字串	https://x.x.x.x	是	Logpoint 執行個體的 IP 位址。
使用者名稱	字串	不適用	是	Logpoint 帳戶的使用者名稱。
密鑰	密碼	不適用	是	Logpoint 帳戶的密鑰。
可倒轉的小時數上限	整數	1	否	要擷取事件的小時數。
最低擷取風險	字串	不適用	否	要擷取的事件最低風險。可能的值包括：重大、高、中、低。
要擷取的事件數量上限	整數	10	否	每個連接器疊代要處理的事件數。
將許可清單當做封鎖清單使用	核取方塊	已取消勾選	是	啟用後，系統會將允許清單視為封鎖清單。
驗證 SSL	核取方塊	已取消勾選	是	啟用後，系統會驗證連線至 Logpoint 伺服器的 SSL 憑證是否有效。
CA 憑證檔案	字串	不適用	否	Base64 編碼的 CA 憑證檔案。
Proxy 伺服器位址	字串	不適用	否	要使用的 Proxy 伺服器位址。
Proxy 使用者名稱	字串	不適用	否	用於驗證的 Proxy 使用者名稱。
Proxy 密碼	密碼	不適用	否	用於驗證的 Proxy 密碼。
使用者篩選器	CSV	不適用	否	以半形逗號分隔的使用者名稱清單，用於篩除事件。系統只會擷取有效使用者建立的事件。如果未提供任何內容，系統不會套用這個篩選器，連接器會擷取所有使用者的事件。

連接器規則

Proxy 支援

連接器支援 Proxy。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。