LogRhythm
Integrationsversion: 17.0
Ab Version 10 dieser Integration gibt es keinen Alarms-Connector mehr. Dieser Connector ist veraltet, da die SOAP API von LogRhythm nicht mehr unterstützt wird. Die gesamte Integration verwendet jetzt die REST API, die in LogRhythm 7.9 eingeführt wurde.
Weitere Informationen finden Sie unter SOAP API (LogRhythm 7.x.x).
Außerdem wurde die Integration auf Python 3 aktualisiert. Daher wird die Verwendung dieses Connectors (ab Version 9) mit der neueren Version der Integration (Version 10) nicht unterstützt und führt zu unerwartetem Verhalten.
Folgen Sie dem empfohlenen Ablauf für dieses Update:
Bevor Sie die Integration auf Version 10 aktualisieren, müssen Sie alle „LogRhythm Alarms Connector“-Instanzen mit Version 9 der Integration zu „LogRhythm – Rest API Alarms Connector“ migrieren.
Aktualisieren Sie die Integration auf Version 10.
LogRhythm-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://{IP}:8501 | Ja | API-Stammverzeichnis der LogRhythm-Instanz. |
| API-Token | Passwort | – | Nein | API-Token der LogRhythm-Instanz. |
| CA-Zertifikatsdatei | String | – | Nein | Base64-codierte CA-Zertifikatsdatei. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn die Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum LogRhythm-Server gültig ist. |
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu LogRhythm mit Parametern, die auf der Seite mit der Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the LogRhythm server with the provided connection parameters!“ (Die Verbindung zum LogRhythm-Server mit den angegebenen Verbindungsparametern wurde hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn das nicht funktioniert: „Verbindung zum LogRhythm-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Entitäten anreichern
Beschreibung
Entitäten mit Informationen aus LogRhythm anreichern. Unterstützte Einheiten: Hostname, IP-Adresse.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Insight erstellen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit allen abgerufenen Informationen zur Entität erstellt. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"id": 2,
"entity": {
"id": 2,
"name": "EchoTestEntity"
},
"name": "EchoTestHost",
"shortDesc": "LogRhythm ECHO",
"riskLevel": "None",
"threatLevel": "None",
"threatLevelComments": "",
"recordStatusName": "Active",
"hostZone": "Internal",
"location": {
"id": -1
},
"os": "Windows",
"osVersion": "Microsoft Windows NT 6.2.9200.0",
"useEventlogCredentials": false,
"osType": "Server",
"dateUpdated": "2021-04-14T09:18:17.677Z",
"hostRoles": [],
"hostIdentifiers": [
{
"type": "IPAddress",
"value": "10.1.2.50",
"dateAssigned": "2021-04-14T09:17:31Z"
},
{
"type": "WindowsName",
"value": "EchoTestHost",
"dateAssigned": "2021-04-14T09:17:31Z"
}
]
}
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Beschreibung | Wenn in JSON verfügbar |
| risk_level | Wenn in JSON verfügbar |
| threat_level | Wenn in JSON verfügbar |
| Status | Wenn in JSON verfügbar |
| host_zone | Wenn in JSON verfügbar |
| os | Wenn in JSON verfügbar |
| Typ | Wenn in JSON verfügbar |
| ips | Wenn in JSON verfügbar |
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für eine Entität verfügbar sind (is_success=true): „Successfully enriched the following entities using information from LogRhythm: {entity.identifier}“ (Die folgenden Entitäten wurden mit Informationen von LogRhythm angereichert: {entity.identifier}). Wenn für ein Element keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden Elemente nicht mit Informationen von LogRhythm anreichern: {entity.identifier}“. Wenn für nicht alle Entitäten Daten verfügbar sind (is_success=false): „Keine der angegebenen Entitäten wurde angereichert.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellentitel: {entity.identifier} | Entität |
Wecker aktualisieren
Beschreibung
Einen Alarm in LogRhythm aktualisieren.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Wecker-ID | String | – | Ja | Geben Sie die ID des Alarms an, der in LogRhythm aktualisiert werden muss. |
| Status | DDL | Wählen Sie eine Option aus. Mögliche Werte:
|
Nein | Geben Sie den Status für den Alarm an. |
| Risikobewertung | Ganzzahl | – | Nein | Geben Sie einen neuen Risikowert für den Alarm an. Maximum: 100 |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- URL
- IP-Adresse
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 200 gemeldet wird (is_success=true): „Successfully updated alarm with ID {ID} in LogRhythm.“ (Der Alarm mit der ID {ID} wurde in LogRhythm erfolgreich aktualisiert.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Wecker aktualisieren‘. Grund: {0}''.format(error.Stacktrace) Wenn der Statuscode nicht 200 ist: „Fehler beim Ausführen der Aktion ‚Update Alarm‘. Grund: {0}''.format(responseMessage)" Wenn der Parameter „Status“ auf „Select One“ (Auswählen) festgelegt ist und keiner der anderen Werte angegeben wird: „Error executing action ‚Update Alarm‘“ (Fehler beim Ausführen der Aktion „Update Alarm“). Grund: Für mindestens einen der Aktionsparameter muss ein Wert angegeben werden.“ |
Allgemein |
Weckerdetails abrufen
Beschreibung
Alarmdetails in LogRhythm abrufen Mit dieser Aktion können Sie Details aus den Ereignissen der LogRhythm Advanced Intelligence Engine (AIE) abrufen und diese Daten in Google SecOps aufnehmen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Weckruf-IDs | CSV | – | Ja | Geben Sie eine durch Kommas getrennte Liste der Alarm-IDs an, für die wir Details abrufen müssen. |
| Max. abzurufende Ereignisse | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der zurückzugebenden Ereignisse an. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
[
{
"alarmRuleID": 98,
"alarmId": 18755,
"personId": -100,
"alarmDate": "2021-08-17T13:36:39.78",
"alarmStatus": 0,
"alarmStatusName": "New",
"entityId": 2,
"entityName": "EchoTestEntity",
"alarmRuleName": "LogRhythm Agent Heartbeat Missed",
"lastUpdatedID": -100,
"lastUpdatedName": "LogRhythm Administrator",
"dateInserted": "2021-08-17T13:36:39.807",
"dateUpdated": "2021-08-17T13:36:39.86",
"associatedCases": [],
"lastPersonID": null,
"eventCount": 1,
"eventDateFirst": "2021-08-17T13:36:37.057",
"eventDateLast": "2021-08-17T13:36:37.057",
"rbpMax": 39,
"rbpAvg": 39,
"smartResponseActions": null,
"alarmDataCached": "N",
"alarmEventsDetails": [
{
"account": "admin5",
"action": "",
"amount": null,
"bytesIn": null,
"bytesOut": null,
"classificationId": 2600,
"classificationName": "Compromise",
"classificationTypeName": "Security",
"command": "",
"commonEventId": 1031412,
"cve": "",
"commonEventName": "AIE: CSC: Disabled Account Auth Success",
"count": 1,
"directionId": 0,
"directionName": "Unknown",
"domain": "",
"duration": 0,
"entityId": -1000001,
"entityName": "",
"group": "",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHostId": -1,
"impactedHostName": "",
"impactedInterface": "",
"impactedIP": null,
"impactedLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"impactedMAC": "",
"impactedName": "",
"impactedNATIP": "",
"impactedNATPort": null,
"impactedNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"impactedPort": -1,
"impactedZone": "Unknown",
"itemsPacketsIn": 0,
"itemsPacketsOut": 0,
"logDate": "2021-08-16T09:51:16.993",
"login": "admin5",
"logMessage": "",
"logSourceHostId": -1000001,
"logSourceHostName": "AI Engine Server",
"logSourceName": "AI Engine",
"logSourceTypeName": "LogRhythm AI Engine",
"messageId": 173885,
"mpeRuleId": -1,
"mpeRuleName": "",
"normalDateMax": "0001-01-01T00:00:00",
"objectName": "",
"objectType": "",
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHostName": "",
"originInterface": "",
"originIP": null,
"originLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"originMAC": "",
"originName": "",
"originNATIP": "",
"originNATPort": null,
"originNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"originPort": -1,
"originZone": "Unknown",
"parentProcessId": "",
"parentProcessName": "",
"parentProcessPath": "",
"policy": "",
"priority": 91,
"process": "",
"processId": -1,
"protocolId": -1,
"protocolName": "",
"quantity": 0,
"rate": 0,
"reason": "",
"recipient": "",
"result": "",
"responseCode": "",
"sender": "",
"session": "",
"recipientIdentityId": null,
"recipientIdentityName": ""
}
]
}
]
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 200 für eine Entität gemeldet wird (is_success=true): „Details für die folgenden Alarme in LogRhythm wurden abgerufen: {IDs}“ Wenn kein Alarm gefunden wurde (is_success=true): „The following alarms were not found in LogRhythm: {IDs}“ (Die folgenden Alarme wurden in LogRhythm nicht gefunden: {IDs}) Wenn nicht alle Alarme gefunden wurden (is_success=false): „Keiner der angegebenen Alarme wurde in LogRhythm gefunden.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Get Alarm Details‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellenname:Alarmereignisse {ID} Tabellenspalten:
|
Allgemein |
Wecker kommentieren
Beschreibung
Fügen Sie dem Alarm in LogRhythm einen Kommentar hinzu.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Wecker-ID | String | – | Ja | Geben Sie die ID des Alarms an, dem Sie in LogRhythm einen Kommentar hinzufügen möchten. |
| Kommentar | String | – | Ja | Geben Sie einen Kommentar an, der dem Alarm hinzugefügt werden soll. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 200 gemeldet wird (is_success=true): „Successfully added comment to the alarm with ID {ID} in LogRhythm.“ (Dem Alarm mit der ID {ID} in LogRhythm wurde erfolgreich ein Kommentar hinzugefügt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Kommentar zum Alarm hinzufügen‘. Grund: {0}''.format(error.Stacktrace) Wenn der Statuscode nicht 200 ist: „Fehler beim Ausführen der Aktion ‚Kommentar zum Alarm hinzufügen‘. Grund: {0}''.format(responseMessage) |
Allgemein |
Beweise für Fall auflisten
Beschreibung
Fallbeweise in LogRhythm auflisten
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Fall-ID | String | – | Ja | Geben Sie die ID des Falls an, für den Sie eine Liste mit Beweismitteln zurückgeben möchten. |
| Statusfilter | CSV | – | Nein | Geben Sie eine durch Kommas getrennte Liste von Statusfiltern für die Nachweise an. Mögliche Werte: „pending“ (ausstehend), „completed“ (abgeschlossen), „failed“ (fehlgeschlagen). Wenn nichts angegeben ist, gibt die Aktion Beweise aus allen Status zurück. |
| Filtertyp | CSV | – | Nein | Geben Sie eine durch Kommas getrennte Liste von Typfiltern für die Nachweise an. Mögliche Werte: alarm, userEvents, log, note, file. Wenn nichts angegeben ist, gibt die Aktion Beweise für alle Typen zurück. |
| Maximale Anzahl zurückzugebender Belege | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der zurückzugebenden Belege an. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
[
{
"number": 4,
"dateCreated": "2021-07-31T11:00:40.2433333Z",
"dateUpdated": "2021-07-31T11:00:40.2433333Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "test",
"pinned": false,
"datePinned": null,
"file": {
"name": "UploadCustomListTemplate .csv",
"size": 161
}
}
]
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 200 gemeldet wird (is_success=true): „Successfully listed evidence related to the case with ID {ID} in LogRhythm.“ (Die Beweise im Zusammenhang mit dem Fall mit der ID {ID} wurden erfolgreich in LogRhythm aufgeführt.) Wenn keine Beweise verfügbar sind (is_success=false): „Für den Fall mit der ID {ID} wurden in LogRhythm keine Beweise gefunden.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚List Case Evidence‘. Grund: {0}''.format(error.Stacktrace) Wenn der Statuscode 404 gemeldet wird: „Fehler beim Ausführen der Aktion ‚List Case Evidence‘. Grund: {0}''.format(message) Wenn ein ungültiger Wert für den Parameter „Status“ angegeben wird: „Error executing action ‚List Case Evidence‘. Grund: Im Parameter „Statusfilter“ wurden ungültige Werte angegeben: {invalid value}. Mögliche Werte: „pending“ (ausstehend), „completed“ (abgeschlossen), „failed“ (fehlgeschlagen). Wenn ein ungültiger Wert für den Parameter „Type“ angegeben wird: „Error executing action ‚List Case Evidence‘. Grund: Ungültige Werte im Parameter „Typ“: {invalid value}. Mögliche Werte: alarm, userEvents, log, note, file. |
Allgemein |
| Fall-Repository | Beweise für Fall {case id} Typ Status Kontext |
Fall einen Alarm hinzufügen
Beschreibung
Fügen Sie dem Fall in LogRhythm einen Alarm hinzu.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Fall-ID | String | – | Ja | Geben Sie die ID des Falls an, dem Sie Benachrichtigungen hinzufügen möchten. |
| Weckruf-IDs | CSV | – | Ja | Geben Sie eine durch Kommas getrennte Liste von Alarmen an, die dem Fall hinzugefügt werden müssen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
[
{
"number": 23,
"dateCreated": "2021-08-11T09:02:17.0066667Z",
"dateUpdated": "2021-08-11T09:02:17.0066667Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15298,
"alarmDate": "2021-07-30T02:07:29.813+03:00",
"alarmRuleId": 1000,
"alarmRuleName": "AIE: ISO-27001: File Monitoring Event-File Changes",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": -100,
"entityName": "Global Entity",
"riskBasedPriorityMax": 1
}
},
{
"number": 24,
"dateCreated": "2021-08-11T09:03:18.65Z",
"dateUpdated": "2021-08-11T09:03:18.65Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15297,
"alarmDate": "2021-07-30T02:07:28.353+03:00",
"alarmRuleId": 1419,
"alarmRuleName": "AIE: CCF: FIM General Activity",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": 1,
"entityName": "Primary Site",
"riskBasedPriorityMax": 0
}
}
]
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 201 gemeldet wird (is_success=true): „Successfully added alarm evidence related to the case with ID {ID} in LogRhythm.“ (Es wurden erfolgreich Alarmbeweise für den Fall mit der ID {ID} in LogRhythm hinzugefügt.) Wenn der Statuscode 200 gemeldet wird (is_success=true): „Alle bereitgestellten Alarmbeweise waren bereits Teil des Falls mit der ID {ID} in LogRhythm.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Add Alarm To Case‘. Grund: {0}''.format(error.Stacktrace) Wenn der Statuscode 404 gemeldet wird: „Fehler beim Ausführen der Aktion ‚Alarm zum Fall hinzufügen‘. Grund: {0}''.format(message or details) |
Allgemein |
Datei an Fall anhängen
Beschreibung
Hängen Sie eine Datei an den Fall in LogRhythm an.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Fall-ID | String | – | Ja | Geben Sie die ID des Falls an, dem Sie Dateien anhängen möchten. |
| Dateipfade | CSV | – | Ja | Geben Sie eine durch Kommas getrennte Liste mit absoluten Dateipfaden an. |
| Hinweis | String | – | Nein | Geben Sie eine Notiz an, die dem Fall zusammen mit der Datei hinzugefügt werden soll. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
[
{
"number": 26,
"dateCreated": "2021-08-11T09:17:33.91Z",
"dateUpdated": "2021-08-11T09:17:33.91Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"file": {
"name": "Get Deep Visibility Query Result_JsonResultSample.json",
"size": 4979
}
}
]
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn für eine Datei abgeschlossen path (is_success=true): „Die folgenden Dateien wurden dem Fall mit der ID {ID} in LogRhythm hinzugefügt.“ Wenn der Vorgang für einen Dateipfad fehlgeschlagen ist (is_success= true): „Action wasn't able to add the following files to the case with ID {ID} in LogRhythm: {failed file paths}“ (Die folgenden Dateien konnten dem Fall mit der ID {ID} in LogRhythm nicht hinzugefügt werden: {failed file paths}). Wenn der Vorgang für alle Dateipfade fehlgeschlagen ist (is_success=false): „Dem Fall mit der ID {ID} in LogRhythm wurden keine Dateien hinzugefügt.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Datei an Kundenserviceticket anhängen‘. Grund: {0}''.format(error.Stacktrace) Wenn der Statuscode 404 gemeldet wird: „Fehler beim Ausführen der Aktion ‚Datei an Kundenserviceticket anhängen‘. Grund: {0}''.format(message) Bei Zeitüberschreitung: „Fehler beim Ausführen der Aktion ‚Datei an Kundenserviceticket anhängen‘. Grund: Bei der Aktion ist eine Zeitüberschreitung aufgetreten. Die folgenden Dateien werden noch verarbeitet: {pending files}. Erhöhen Sie das Zeitlimit in der IDE. Hinweis: Wenn Sie dieselbe Datei hinzufügen, wird ein separater Eintrag in LogRhythm erstellt. |
Allgemein |
Fallnotiz hinzufügen
Beschreibung
Fügen Sie dem Fall in LogRhythm eine Notiz hinzu.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Fall-ID | String | – | Ja | Geben Sie die ID des Falls an, dem Sie eine Notiz hinzufügen möchten. |
| Hinweis | String | – | Ja | Geben Sie eine Notiz an, die dem Fall hinzugefügt werden soll. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"number": 29,
"dateCreated": "2021-08-11T12:21:11.5547306Z",
"dateUpdated": "2021-08-11T12:21:11.5547306Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "note",
"status": "completed",
"statusMessage": null,
"text": "asdasd",
"pinned": false,
"datePinned": null
}
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 201 gemeldet wird (is_success=true): „Successfully added a note to the case with ID {ID} in LogRhythm.“ (Dem Fall mit der ID {ID} in LogRhythm wurde erfolgreich eine Notiz hinzugefügt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Hinweis zum Kundenvorgang hinzufügen‘. Grund: {0}''.format(error.Stacktrace) Wenn der Statuscode 404 gemeldet wird: „Fehler beim Ausführen der Aktion ‚Hinweis zum Fall hinzufügen‘. Grund: {0}''.format(message) |
Allgemein |
Anfrage erstellen
Beschreibung
Erstellen Sie einen Fall in LogRhythm.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Name | String | – | Ja | Geben Sie einen Namen für den Fall an. |
| Priorität | DDL | 1 Mögliche Werte:
|
Ja | Geben Sie die Priorität für den Fall an. |
| Fälligkeitsdatum | String | – | Nein | Geben Sie das Fälligkeitsdatum für den Fall an. Format: ISO 8601 Beispiel: 2021-04-23T12:38Z |
| Beschreibung | String | – | Nein | Geben Sie eine Beschreibung für den Fall an. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:37:42.8942168Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 201 gemeldet wird (is_success=true): „Successfully created case {number} in LogRhythm.“ (Supportanfrage {number} wurde in LogRhythm erstellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Fall erstellen‘. Grund: {0}''.format(error.Stacktrace) Wenn der Statuscode 404 gemeldet wird: „Fehler beim Ausführen der Aktion ‚Fall erstellen‘. Grund: {0}''.format(message) |
Allgemein |
Fall aktualisieren
Beschreibung
Aktualisieren Sie einen Fall in LogRhythm.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Fall-ID | String | – | Ja | Geben Sie die ID des Falls an, der aktualisiert werden muss. |
| Name | String | – | Nein | Geben Sie einen neuen Namen für den Fall an. |
| Priorität | DDL | Wählen Sie eine Option aus. Mögliche Werte:
|
Nein | Geben Sie eine neue Priorität für den Fall an. |
| Fälligkeitsdatum | String | – | Nein | Geben Sie ein neues Fälligkeitsdatum für den Fall an. Format: ISO 8601 Beispiel: 2021-04-23T12:38Z |
| Beschreibung | String | – | Nein | Geben Sie eine neue Beschreibung für den Fall ein. |
| Lösung | String | – | Nein | Geben Sie an, wie der Fall gelöst wurde. |
| Status | DDL | Wählen Sie eine Option aus. Mögliche Werte:
|
Nein | Geben Sie den neuen Status für den Fall an. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:48:52.9765558Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 201 gemeldet wird (is_success=true): „Successfully updated case {ID} in LogRhythm.“ (Der Fall {ID} wurde in LogRhythm aktualisiert.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Vorgang aktualisieren‘. Grund: {0}''.format(error.Stacktrace) Wenn der Statuscode 404 gemeldet wird: „Fehler beim Ausführen der Aktion ‚Fall aktualisieren‘. Grund: {0}''.format(message) Wenn der Statuscode 400 ist: „Fehler beim Ausführen der Aktion ‚Fall aktualisieren‘. Grund: {0}''.format(validationErrors) Wenn der Parameter „Status“ oder „Priorität“ auf „Auswählen“ festgelegt ist und keiner der anderen Werte angegeben wird: „Fehler beim Ausführen der Aktion ‚Fall aktualisieren‘. Grund: Für mindestens einen der Aktionsparameter muss ein Wert angegeben werden.“ |
Allgemein |
Fallakten herunterladen
Beschreibung
Laden Sie Dateien herunter, die mit dem Fall in LogRhythm zusammenhängen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Fall-ID | String | – | Ja | Geben Sie die ID des Falls an, aus dem Sie Dateien herunterladen möchten. |
| Download-Ordnerpfad | String | – | Ja | Geben Sie den Pfad zu dem Ordner an, in dem Sie die Fallakten speichern möchten. |
| Überschreiben | Boolesch | Falsch | Ja | Wenn diese Option aktiviert ist, wird die Datei mit demselben Namen überschrieben. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{"absolute_file_paths": ["file_path_1","file_path_2"]}
``` ##### Entity
Enrichment
N/A
##### Insights
N/A
##### Case Wall
<table>
<thead>
<tr>
<th><strong>Result type</strong></th>
<th><strong>Value/Description</strong></th>
<th><strong>Type</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Output message*</td>
<td><p><strong>The action should not fail nor stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If the</em> <strong></strong> <em>200 status code for all cases is reported (is_success=true):</em> "Successfully downloaded files related to case with ID {ID} in LogRhythm."</p><p></p><p><em>If no files are found (is_success=true): "</em>No related files were found for the case with ID {ID} in LogRhythm."</p><p></p><p><strong>The action should fail and stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If a</em> <strong></strong> <em>fatal error, like wrong credentials, no connection to the server, other is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(error.Stacktrace)"</p><p></p><p><em>If the 404 status code is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(message)"</p><p></p><p><em>If a file with the same name already exists, but "Overwrite" is set to false:</em> "Error executing action "Download Case Files". Reason: files with path {0} already exist. Please delete the files or set "Overwrite" to true."</p></td>
<td>General</td>
</tr>
</tbody>
</table>
### List Entity Events
#### Description
List events related to entities in LogRhythm. Supported entities: Hostname, IP
Address, User, CVE, Hash, URL.
Note: This action runs as async. Adjust the script timeout value in the
Google SecOps IDE for the action as needed.
#### Parameters
<table>
<thead>
<tr>
<th><strong>Parameter Display Name</strong></th>
<th><strong>Type</strong></th>
<th><strong>Default Value</strong></th>
<th><strong>Is Mandatory</strong></th>
<th><strong>Description</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Time Frame</td>
<td>DDL</td>
<td><p>Last Hour</p><p><strong></strong></p><p>Possible Values: </p><ul><li>Last Hour</li><li>Last 6 Hours</li><li>Last 24 Hours</li><li>Last Week</li><li>Last Month</li><li>Custom</li></ul></td>
<td>No</td>
<td>Name of the watchlist from which you want to remove values.</td>
</tr>
<tr>
<td>Start Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the start time for the results.</p><p></p><p>This parameter is mandatory, if "Custom" is selected for the "Time Frame" parameter. </p><p></p><p>Format: ISO 8601</p><p></p><p>Example: 2021-04-23T12:38Z</p></td>
</tr>
<tr>
<td>End Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the end time for the results. </p><p></p><p>If nothing is provided and "Custom" is selected for the "Time Frame" parameter then this parameter uses current time.</p><p></p><p>Format: ISO 8601</p></td>
</tr>
<tr>
<td>Sort Order</td>
<td>DDL</td>
<td><p>Datetime ASC <strong></strong> </p><p></p><p>Possible values:</p><ul><li>Datetime ASC</li><li>Datetime DESC</li><li>Risk ASC</li><li>RiskDESC</li></ul></td>
<td>No</td>
<td>Specify the sorting logic for the query.</td>
</tr>
<tr>
<td>Max Events To Return</td>
<td>Integer</td>
<td>50</td>
<td>No</td>
<td>Specify the number of events to return.</td>
</tr>
</tbody>
</table>
#### Run On
This action runs on the following entities:
* Hostname
* IP Address
* User
* CVE
* Hash
* URL
#### Action Results
##### Script Result
<table>
<thead>
<tr>
<th><strong>Script Result Name</strong></th>
<th><strong>Value Options</strong></th>
<th><strong>Example</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>is_success</td>
<td>True/False</td>
<td>is_success:False</td>
</tr>
</tbody>
</table>
##### JSON Result
```json
{
"kBytes": 2521.025390625,
"kBytesIn": 2500.0,
"kBytesOut": 21.025390625,
"outboundKBytes": 21.025390625,
"impactedHostTotalKBytes": 2521.025390625,
"keyField": "messageId",
"count": 1,
"classificationId": 3200,
"classificationName": "Error",
"classificationTypeName": "Operations",
"commonEventName": "HTTP 504 : Server Error - Gateway Time-Out",
"commonEventId": 8938,
"direction": 3,
"directionName": "External",
"entityId": 2,
"entityName": "EchoTestEntity",
"rootEntityId": 2,
"rootEntityName": "EchoTestEntity",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHost": "192.0.2.11",
"impactedInterface": "0",
"impactedIp": "192.0.2.11",
"impactedPort": 80,
"impactedZoneName": "External",
"indexedDate": 1629460029041,
"insertedDate": 1629123439811,
"logDate": 1629134239789,
"logMessage": "CISCONGFW EVENT Ev_Id=436 Ev",
"logSourceHost": "EchoTestHost",
"logSourceHostId": 2,
"logSourceHostName": "EchoTestHost",
"logSourceId": 15,
"logSourceName": "Echo_2_1000107",
"logSourceType": 1000107,
"logSourceTypeName": "Flat File - Cisco NGFW",
"messageId": "23066",
"messageTypeEnum": 2,
"mpeRuleId": 1176829,
"mpeRuleName": "HTTP 504 : Server Error : Gateway Timeout",
"normalDate": 1629123439791,
"normalDateMin": 1629123439791,
"normalMsgDateMax": 1629123439791,
"normalDateHour": 1629122400000,
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHost": "192.0.2.12",
"originInterface": "0",
"originIp": "192.0.2.12",
"originPort": 14042,
"originZone": 3,
"originZoneName": "External",
"priority": 38,
"process": "5",
"processId": 300003,
"protocolId": 6,
"protocolName": "TCP",
"serviceId": 1388,
"serviceName": "HTTP",
"portProtocol": "HTTP",
"session": "436",
"severity": "57",
"url": "http://www.google.com/",
"vendorMessageId": "504",
"version": "2",
"status": "504"
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für eine Entität gefunden wurden (is_success=true): „Successfully retrieved events for the following entities in LogRhythm: {entity.identifier}.“ (Ereignisse für die folgenden Entitäten in LogRhythm wurden erfolgreich abgerufen: {entity.identifier}.) Wenn der Vorgang für eine Entität fehlgeschlagen ist (is_success=true): „Die Aktion konnte keine Ereignisse für die folgenden Entitäten in LogRhythm abrufen: {entity.identifier}.“ Wenn der Vorgang für alle Entitäten fehlgeschlagen ist (is_success=false): „Action wasn't able to retrieve events for the provided entities in LogRhythm.“ (Die Aktion konnte keine Ereignisse für die angegebenen Entitäten in LogRhythm abrufen.) Wenn keine Daten für mindestens eine Entität vorhanden sind (is_success=true): „Für die folgenden Entitäten in LogRhythm wurden keine Ereignisse gefunden: {entity.identifier}.“ Wenn keine Daten für alle Entitäten vorhanden sind (is_success=false): „No events were found for the provided entities in LogRhythm.“ (Für die angegebenen Entitäten wurden in LogRhythm keine Ereignisse gefunden.) Wenn für eine Entität ein Zeitlimit überschritten wurde (is_success=true): „Bei der Ausführung der Aktion ist ein Zeitlimit überschritten worden. Ausstehende Einheiten: {entities that didn't return data}. Bitte erhöhen Sie das Zeitlimit für die Aktion in der IDE.“ Asynchrone Nachricht: „Warten auf Ereignisinformationen für die folgenden Einheiten: {entity.identifier}“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚List Entity Events‘.“ Grund: {0}''.format(error.Stacktrace) Wenn für alle Entitäten ein Zeitlimit überschritten wurde (is_success=false): „Fehler beim Ausführen der Aktion ‚List Entity Events‘. Grund: Bei der Ausführung der Aktion ist ein Zeitüberschreitungsfehler aufgetreten. Für die angegebenen Entitäten wurden keine Informationen zu den Ereignissen abgerufen. Bitte erhöhen Sie das Zeitlimit für die Aktion in der IDE.“ Wenn der Parameter „Start Time“ (Startzeit) leer ist und der Parameter „Time Frame“ (Zeitrahmen) auf „Custom“ (Benutzerdefiniert) festgelegt ist (Fehler): „Error executing action "". Reason: "Start Time" should be provided, when "Custom" is selected in the "Time Frame" parameter.“ (Fehler beim Ausführen der Aktion „“. Grund: „Start Time“ (Startzeit) muss angegeben werden, wenn „Custom“ (Benutzerdefiniert) im Parameter „Time Frame“ (Zeitrahmen) ausgewählt ist.) Wenn der Parameter „Startzeit“ einen größeren Wert als der Parameter „Endzeit“ hat (Fehler): „Fehler beim Ausführen der Aktion „“. Grund: „Endzeit“ sollte nach „Startzeit“ liegen. Wenn „Max. zurückzugebende Elemente“ nicht größer als 0 ist: „Fehler beim Ausführen der Aktion „“. Grund: „Max. zurückzugebende Ereignisse“ muss größer als 0 sein. |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellenname: {entity.identifier} Tabellenspalten:
Hinweis:Diese Spalte ist nur sichtbar, wenn mindestens ein Datensatz mit einem Wert vorhanden ist. |
Entität |
Connectors
LogRhythm Cases Connector
Beschreibung
Vorgänge aus LogRhythm abrufen
Connector-Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | – | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | event_type | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https://{IP}:8501 | Ja | API-Stammverzeichnis der LogRhythm-Instanz. |
| API-Token | Passwort | – | Ja | LogRhythm-API-Token. |
| Max. Tage rückwärts | Ganzzahl | 1 | Ja | Anzahl der Tage, ab denen Fälle abgerufen werden sollen. |
| Niedrigste Priorität für Abruf | Ganzzahl | – | Nein | Die niedrigste Priorität, die zum Abrufen von Fällen verwendet werden muss. Wenn nichts angegeben ist, werden Anfragen mit allen Prioritäten aufgenommen. Mögliche Werte: 1 bis 5. |
| Limit für die Anzahl der Benachrichtigungen | Ganzzahl | 10 | Ja | Anzahl der Fälle, die pro Connector-Iteration verarbeitet werden sollen. |
| CA-Zertifikatsdatei | String | – | Nein | Base64-codierte CA-Zertifikatsdatei. |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn die Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum LogRhythm-Server gültig ist. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung
Der Connector unterstützt Proxys.
LogRhythm – Rest API Alarms Connector
Beschreibung
Alarme aus LogRhythm mithilfe der REST API abrufen
LogRhythm – Rest API Alarms Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | Produktname | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | classificationTypeName | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Ermöglicht es dem Nutzer, das Feld „environment“ (Umgebung) über Regex-Logik zu bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https://{IP}:8501 | Ja | API-Stammverzeichnis der LogRhythm-Instanz. |
| API-Token | Passwort | – | Ja | LogRhythm-API-Token. |
| Maximale Stunden zurück | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Benachrichtigungen abgerufen werden sollen. |
| Maximale Anzahl der abzurufenden Wecker | Ganzzahl | 10 | Nein | Anzahl der Warnungen, die pro Connector-Iteration verarbeitet werden sollen. |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die Zulassungsliste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn die Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum LogRhythm-Server gültig ist. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung
Der Connector unterstützt Proxys.
Jobs
Kundenservicenotizen synchronisieren
Beschreibung
Mit diesem Job werden Kommentare in LogRhythm- und Google SecOps-Vorgängen synchronisiert.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://{IP}:8501 | Ja | API-Stammverzeichnis der LogRhythm-Instanz. |
| API-Token | Passwort | – | Ja | LogRhythm-API-Token. |
| CA-Zertifikatsdatei | String | – | Nein | Base64-codierte CA-Zertifikatsdatei. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn die Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum LogRhythm-Server gültig ist. |
Geschlossene Fälle synchronisieren
Beschreibung
Mit diesem Job werden geschlossene LogRhythm-Vorgänge und Google SecOps-Benachrichtigungen synchronisiert.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://{IP}:8501 | Ja | API-Stammverzeichnis der LogRhythm-Instanz. |
| API-Token | Passwort | – | Ja | LogRhythm-API-Token. |
| CA-Zertifikatsdatei | String | – | Nein | Base64-codierte CA-Zertifikatsdatei. |
| Maximale Stunden zurück | Ganzzahl | 24 | Nein | Geben Sie die Anzahl der Stunden an, die zurückliegend synchronisiert werden sollen. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn die Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum LogRhythm-Server gültig ist. |
Weckermitteilungen synchronisieren
Beschreibung
Mit diesem Job werden Kommentare in LogRhythm-Alarmen und Google SecOps-Vorgängen synchronisiert.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://{IP}:8501 | Ja | API-Stammverzeichnis der LogRhythm-Instanz. |
| API-Token | Passwort | – | Ja | LogRhythm-API-Token. |
| CA-Zertifikatsdatei | String | – | Nein | Base64-codierte CA-Zertifikatsdatei. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn die Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum LogRhythm-Server gültig ist. |
Geschlossene Wecker synchronisieren
Beschreibung
Mit diesem Job werden geschlossene LogRhythm-Alarme und Google SecOps-Benachrichtigungen synchronisiert.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://{IP}:8501 | Ja | API-Stammverzeichnis der LogRhythm-Instanz. |
| API-Token | Passwort | – | Ja | LogRhythm-API-Token. |
| CA-Zertifikatsdatei | String | – | Nein | Base64-codierte CA-Zertifikatsdatei. |
| Maximale Stunden zurück | Ganzzahl | 24 | Nein | Geben Sie die Anzahl der Stunden an, die zurückliegend synchronisiert werden sollen. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn die Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum LogRhythm-Server gültig ist. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten