LogRhythm
Versión de integración: 17.0
A partir de la versión 10 de esta integración, ya no habrá un Alarms Connector. Este conector está obsoleto, ya que la API SOAP está obsoleta por parte de LogRhythm. Ahora, toda la integración usa la API REST, que se introdujo en la versión 7.9 de LogRhythm.
Para obtener más información, consulta API SOAP (LogRhythm 7.x.x).
Además, la integración se ha actualizado a la versión 3 de Python, por lo que no se admite mantener este conector (de la versión 9) con la versión más reciente de la integración (versión 10), lo que provoca comportamientos inesperados.
Sigue el flujo recomendado para esta actualización:
Antes de actualizar la integración a la versión 10, migra todas las conexiones "LogRhythm Alarms Connector" a "LogRhythm - Rest API Alarms Connector" con la versión 9 de la integración.
Actualiza la integración a la versión 10.
Configurar la integración de LogRhythm en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https://{IP}:8501 | Sí | Raíz de la API de la instancia de LogRhythm. |
| Token de API | Contraseña | N/A | No | Token de API de la instancia de LogRhythm. |
| Archivo de certificado de AC | Cadena | N/A | No | Archivo de certificado de CA codificado en Base64. |
| Verificar SSL | Casilla | Desmarcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor LogRhythm sea válido. |
Acciones
Ping
Descripción
Prueba la conectividad con LogRhythm con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Casos prácticos
N/A
Fecha de ejecución
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se establece correctamente: "Se ha conectado correctamente al servidor de LogRhythm con los parámetros de conexión proporcionados". La acción debería fallar y detener la ejecución de la guía: Si no se resuelve correctamente: "No se ha podido conectar con el servidor LogRhythm. Error: {0}".format(exception.stacktrace) |
General |
Enriquecer entidades
Descripción
Enriquece las entidades con información de LogRhythm. Entidades admitidas: nombre de host y dirección IP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Crear estadística | Casilla | Marcada | No | Si se habilita, la acción crea una estadística que contiene toda la información recuperada sobre la entidad. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"id": 2,
"entity": {
"id": 2,
"name": "EchoTestEntity"
},
"name": "EchoTestHost",
"shortDesc": "LogRhythm ECHO",
"riskLevel": "None",
"threatLevel": "None",
"threatLevelComments": "",
"recordStatusName": "Active",
"hostZone": "Internal",
"location": {
"id": -1
},
"os": "Windows",
"osVersion": "Microsoft Windows NT 6.2.9200.0",
"useEventlogCredentials": false,
"osType": "Server",
"dateUpdated": "2021-04-14T09:18:17.677Z",
"hostRoles": [],
"hostIdentifiers": [
{
"type": "IPAddress",
"value": "10.1.2.50",
"dateAssigned": "2021-04-14T09:17:31Z"
},
{
"type": "WindowsName",
"value": "EchoTestHost",
"dateAssigned": "2021-04-14T09:17:31Z"
}
]
}
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo se aplica |
|---|---|
| description | Cuando esté disponible en JSON |
| risk_level | Cuando esté disponible en JSON |
| threat_level | Cuando esté disponible en JSON |
| status | Cuando esté disponible en JSON |
| host_zone | Cuando esté disponible en JSON |
| os | Cuando esté disponible en JSON |
| tipo | Cuando esté disponible en JSON |
| ips | Cuando esté disponible en JSON |
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: If data is available for one entity (is_success=true): "Successfully enriched the following entities using information from LogRhythm: {entity.identifier}". Si no hay datos disponibles para una entidad (is_success=true): "No se ha podido enriquecer la siguiente entidad con información de LogRhythm: {entity.identifier}". Si los datos no están disponibles para todas las entidades (is_success=false): "None of the provided entities were enriched." ("No se ha enriquecido ninguna de las entidades proporcionadas"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, falta de conexión con el servidor u otro: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace) |
General |
| Tabla del panel de casos | Título de la tabla: {entity.identifier} | Entidad |
Actualizar alarma
Descripción
Actualizar una alarma en LogRhythm.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alarma | Cadena | N/A | Sí | Especifica el ID de la alarma que se debe actualizar en LogRhythm. |
| Estado | DDL | Selecciona una opción. Valores posibles:
|
No | Especifica el estado de la alarma. |
| Puntuación de riesgo | Entero | N/A | No | Especifica una nueva puntuación de riesgo para la alarma. Máximo: 100 |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- URL
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa del código de estado 200 (is_success=true): "Se ha actualizado correctamente la alarma con el ID {ID} en LogRhythm". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Actualizar alarma". Motivo: {0}''.format(error.Stacktrace) Si el código de estado no es 200: "Error al ejecutar la acción "Actualizar alarma". Motivo: {0}''.format(responseMessage)" Si el parámetro "Estado" se define como "Seleccionar uno" y no se proporciona ningún otro valor:"Error al ejecutar la acción "Actualizar alarma". Motivo: al menos uno de los parámetros de acción debe tener un valor proporcionado". |
General |
Get Alarm Details
Descripción
Obtener los detalles de las alarmas en LogRhythm. Esta acción te permite obtener detalles de los eventos de LogRhythm Advanced Intelligence Engine (AIE) e ingerir estos datos en Google SecOps.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| IDs de alarma | CSV | N/A | Sí | Especifica una lista de IDs de alarmas separados por comas de las que necesitemos obtener detalles. |
| Número máximo de eventos que se van a obtener | Entero | 50 | No | Especifica el número de eventos que se deben devolver. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
[
{
"alarmRuleID": 98,
"alarmId": 18755,
"personId": -100,
"alarmDate": "2021-08-17T13:36:39.78",
"alarmStatus": 0,
"alarmStatusName": "New",
"entityId": 2,
"entityName": "EchoTestEntity",
"alarmRuleName": "LogRhythm Agent Heartbeat Missed",
"lastUpdatedID": -100,
"lastUpdatedName": "LogRhythm Administrator",
"dateInserted": "2021-08-17T13:36:39.807",
"dateUpdated": "2021-08-17T13:36:39.86",
"associatedCases": [],
"lastPersonID": null,
"eventCount": 1,
"eventDateFirst": "2021-08-17T13:36:37.057",
"eventDateLast": "2021-08-17T13:36:37.057",
"rbpMax": 39,
"rbpAvg": 39,
"smartResponseActions": null,
"alarmDataCached": "N",
"alarmEventsDetails": [
{
"account": "admin5",
"action": "",
"amount": null,
"bytesIn": null,
"bytesOut": null,
"classificationId": 2600,
"classificationName": "Compromise",
"classificationTypeName": "Security",
"command": "",
"commonEventId": 1031412,
"cve": "",
"commonEventName": "AIE: CSC: Disabled Account Auth Success",
"count": 1,
"directionId": 0,
"directionName": "Unknown",
"domain": "",
"duration": 0,
"entityId": -1000001,
"entityName": "",
"group": "",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHostId": -1,
"impactedHostName": "",
"impactedInterface": "",
"impactedIP": null,
"impactedLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"impactedMAC": "",
"impactedName": "",
"impactedNATIP": "",
"impactedNATPort": null,
"impactedNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"impactedPort": -1,
"impactedZone": "Unknown",
"itemsPacketsIn": 0,
"itemsPacketsOut": 0,
"logDate": "2021-08-16T09:51:16.993",
"login": "admin5",
"logMessage": "",
"logSourceHostId": -1000001,
"logSourceHostName": "AI Engine Server",
"logSourceName": "AI Engine",
"logSourceTypeName": "LogRhythm AI Engine",
"messageId": 173885,
"mpeRuleId": -1,
"mpeRuleName": "",
"normalDateMax": "0001-01-01T00:00:00",
"objectName": "",
"objectType": "",
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHostName": "",
"originInterface": "",
"originIP": null,
"originLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"originMAC": "",
"originName": "",
"originNATIP": "",
"originNATPort": null,
"originNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"originPort": -1,
"originZone": "Unknown",
"parentProcessId": "",
"parentProcessName": "",
"parentProcessPath": "",
"policy": "",
"priority": 91,
"process": "",
"processId": -1,
"protocolId": -1,
"protocolName": "",
"quantity": 0,
"rate": 0,
"reason": "",
"recipient": "",
"result": "",
"responseCode": "",
"sender": "",
"session": "",
"recipientIdentityId": null,
"recipientIdentityName": ""
}
]
}
]
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa del código de estado 200 de una entidad (is_success=true): "Se han recuperado correctamente los detalles de las siguientes alarmas en LogRhythm: {IDs}" Si no se encuentra una alarma (is_success=true):"No se han encontrado las siguientes alarmas en LogRhythm: {IDs}" Si no se encuentran todas las alarmas (is_success=false): "None of the provided alarms were found in LogRhythm." ("No se ha encontrado ninguna de las alarmas proporcionadas en LogRhythm"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Get Alarm Details". Motivo: {0}''.format(error.Stacktrace) |
General |
| Tabla del panel de casos | Nombre de la tabla: Alarm {ID} Events Columnas de tabla:
|
General |
Add Comment To Alarm
Descripción
Añade un comentario a la alarma en LogRhythm.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de alarma | Cadena | N/A | Sí | Especifica el ID de la alarma a la que necesitas añadir un comentario en LogRhythm. |
| Comentario | Cadena | N/A | Sí | Especifica un comentario que se deba añadir a la alarma. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa del código de estado 200 (is_success=true): "Se ha añadido correctamente el comentario a la alarma con el ID {ID} en LogRhythm." La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Añadir comentario a alarma". Motivo: {0}''.format(error.Stacktrace) Si el código de estado no es 200: "Error al ejecutar la acción "Añadir comentario a alarma". Motivo: {0}''.format(responseMessage) |
General |
List Case Evidence
Descripción
Mostrar pruebas de un caso en LogRhythm.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de caso | Cadena | N/A | Sí | Especifique el ID del caso del que quiere obtener una lista de pruebas. |
| Filtro de estado | CSV | N/A | No | Especifica una lista de filtros de estado separados por comas para las pruebas. Valores posibles: pendiente, completado o fallido. Si no se proporciona nada, la acción devuelve pruebas de todos los estados. |
| Tipo de filtro | CSV | N/A | No | Especifica una lista de filtros de tipo separados por comas para las pruebas. Valores posibles: alarm, userEvents, log, note, file. Si no se indica nada, la acción devuelve pruebas de todos los tipos. |
| Número máximo de pruebas que se devolverán | Entero | 50 | No | Especifica el número de pruebas que se deben devolver. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
[
{
"number": 4,
"dateCreated": "2021-07-31T11:00:40.2433333Z",
"dateUpdated": "2021-07-31T11:00:40.2433333Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "test",
"pinned": false,
"datePinned": null,
"file": {
"name": "UploadCustomListTemplate .csv",
"size": 161
}
}
]
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelve el código de estado 200 (is_success=true): "Se ha añadido correctamente la prueba relacionada con el caso con el ID {ID} en LogRhythm." Si no hay pruebas disponibles (is_success=false): "No se han encontrado pruebas del caso con el ID {ID} en LogRhythm". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "List Case Evidence". Motivo: {0}''.format(error.Stacktrace) Si se informa del código de estado 404: "Error al ejecutar la acción "List Case Evidence". Motivo: {0}''.format(message) Si se proporciona un valor no válido para el parámetro "Status": "Error al ejecutar la acción "List Case Evidence". Motivo: se han proporcionado valores no válidos en el parámetro "Status Filter": {invalid value}. Valores posibles: pendiente, completado o fallido. Si se proporciona un valor no válido para el parámetro "Type": "Error al ejecutar la acción "List Case Evidence". Motivo: se han proporcionado valores no válidos en el parámetro "Type": {invalid value}. Valores posibles: alarm, userEvents, log, note, file. |
General |
| Panel de casos | Pruebas del caso {case id} Tipo Estado Contexto |
Añadir alarma a caso
Descripción
Añade una alarma al caso en LogRhythm.
Parámetro
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de caso | Cadena | N/A | Sí | Especifique el ID del caso al que quiere añadir alarmas. |
| IDs de alarma | CSV | N/A | Sí | Especifica una lista separada por comas de las alarmas que se deben añadir al caso. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
[
{
"number": 23,
"dateCreated": "2021-08-11T09:02:17.0066667Z",
"dateUpdated": "2021-08-11T09:02:17.0066667Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15298,
"alarmDate": "2021-07-30T02:07:29.813+03:00",
"alarmRuleId": 1000,
"alarmRuleName": "AIE: ISO-27001: File Monitoring Event-File Changes",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": -100,
"entityName": "Global Entity",
"riskBasedPriorityMax": 1
}
},
{
"number": 24,
"dateCreated": "2021-08-11T09:03:18.65Z",
"dateUpdated": "2021-08-11T09:03:18.65Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15297,
"alarmDate": "2021-07-30T02:07:28.353+03:00",
"alarmRuleId": 1419,
"alarmRuleName": "AIE: CCF: FIM General Activity",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": 1,
"entityName": "Primary Site",
"riskBasedPriorityMax": 0
}
}
]
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelve el código de estado 201 (is_success=true): "Se ha añadido correctamente la prueba de alarma relacionada con el caso con ID {ID} en LogRhythm." Si se devuelve el código de estado 200 (is_success=true): "Todas las pruebas de alarma proporcionadas ya formaban parte del caso con el ID {ID} en LogRhythm". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Añadir alarma a caso". Motivo: {0}''.format(error.Stacktrace) Si se informa del código de estado 404: "Error al ejecutar la acción "Añadir alarma a caso". Motivo: {0}''.format(message or details) |
General |
Adjuntar archivo al caso
Descripción
Adjunta un archivo al caso en LogRhythm.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de caso | Cadena | N/A | Sí | Especifique el ID de la incidencia a la que quiera adjuntar archivos. |
| Rutas de archivo | CSV | N/A | Sí | Especifica una lista de rutas de archivo absolutas separadas por comas. |
| Nota | Cadena | N/A | No | Especifica una nota que se debe añadir al caso junto con el archivo. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
[
{
"number": 26,
"dateCreated": "2021-08-11T09:17:33.91Z",
"dateUpdated": "2021-08-11T09:17:33.91Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"file": {
"name": "Get Deep Visibility Query Result_JsonResultSample.json",
"size": 4979
}
}
]
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha completado para un archivo ruta (is_success=true): "Se han añadido correctamente los siguientes archivos al caso con el ID {ID} en LogRhythm." Si se produce un error en una ruta de archivo (is_success= true): "No se ha podido añadir los siguientes archivos al caso con el ID {ID} en LogRhythm: {failed file paths}". Si se produce un error en todas las rutas de archivo (is_success=false): "No se ha añadido ningún archivo al caso con el ID {ID} en LogRhythm". La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Adjuntar archivo a caso". Motivo: {0}''.format(error.Stacktrace) Si se informa del código de estado 404: "Error al ejecutar la acción "Adjuntar archivo a caso". Motivo: {0}''.format(message) Si se ha agotado el tiempo de espera: "Error al ejecutar la acción "Adjuntar archivo a caso". Motivo: la acción ha agotado el tiempo de espera. Los siguientes archivos aún se están procesando: {pending files}. Aumenta el tiempo de espera en el IDE. Nota: Si añades el mismo archivo, se creará una entrada independiente en LogRhythm. |
General |
Añadir nota al caso
Descripción
Añade una nota al caso en LogRhythm.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de caso | Cadena | N/A | Sí | Especifica el ID de la incidencia a la que quieres añadir una nota. |
| Nota | Cadena | N/A | Sí | Especifica una nota que se deba añadir al caso. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"number": 29,
"dateCreated": "2021-08-11T12:21:11.5547306Z",
"dateUpdated": "2021-08-11T12:21:11.5547306Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "note",
"status": "completed",
"statusMessage": null,
"text": "asdasd",
"pinned": false,
"datePinned": null
}
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelve el código de estado 201 (is_success=true): "Se ha añadido correctamente una nota al caso con el ID {ID} en LogRhythm." La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Añadir nota al caso". Motivo: {0}''.format(error.Stacktrace) Si se informa del código de estado 404: "Error al ejecutar la acción "Añadir nota al caso". Motivo: {0}''.format(message) |
General |
Crear solicitud de asistencia
Descripción
Crea un caso en LogRhythm.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre | Cadena | N/A | Sí | Especifica el nombre del caso. |
| Prioridad | DDL | 1 Valores posibles:
|
Sí | Especifica la prioridad del caso. |
| Fecha de finalización | Cadena | N/A | No | Especifica la fecha de vencimiento del caso. Formato: ISO 8601 Ejemplo: 2021-04-23T12:38Z |
| Descripción | Cadena | N/A | No | Especifica una descripción del caso. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:37:42.8942168Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelve el código de estado 201 (is_success=true): "Successfully created case {number} in LogRhythm." ("Se ha creado correctamente el caso {number} en LogRhythm"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Crear caso". Motivo: {0}''.format(error.Stacktrace) Si se informa del código de estado 404: "Error al ejecutar la acción "Crear caso". Motivo: {0}''.format(message) |
General |
Actualizar caso
Descripción
Actualizar un caso en LogRhythm.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de caso | Cadena | N/A | Sí | Especifica el ID de la incidencia que se debe actualizar. |
| Nombre | Cadena | N/A | No | Especifica un nombre nuevo para el caso. |
| Prioridad | DDL | Selecciona una opción. Valores posibles:
|
No | Especifica una nueva prioridad para el caso. |
| Fecha de finalización | Cadena | N/A | No | Especifica una nueva fecha de vencimiento para el caso. Formato: ISO 8601 Ejemplo: 2021-04-23T12:38Z |
| Descripción | Cadena | N/A | No | Especifica una nueva descripción para el caso. |
| Resolución | Cadena | N/A | No | Especifica cómo se ha resuelto el caso. |
| Estado | DDL | Selecciona una opción. Valores posibles:
|
No | Especifica el nuevo estado del caso. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:48:52.9765558Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelve el código de estado 201 (is_success=true): "Successfully updated case {ID} in LogRhythm." ("Se ha actualizado correctamente el caso {ID} en LogRhythm"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro: "Error al ejecutar la acción "Update Case". Motivo: {0}''.format(error.Stacktrace)" Si se informa del código de estado 404: "Error al ejecutar la acción "Update Case". Motivo: {0}''.format(message) Si el código de estado es 400: "Error al ejecutar la acción "Update Case". Motivo: {0}''.format(validationErrors)" Si el parámetro "Estado" o "Prioridad" se define como "Seleccionar uno" y no se proporciona ninguno de los otros valores: "Error al ejecutar la acción "Actualizar caso". Motivo: al menos uno de los parámetros de acción debe tener un valor proporcionado". |
General |
Descargar archivos del caso
Descripción
Descarga los archivos relacionados con el caso en LogRhythm.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de caso | Cadena | N/A | Sí | Especifica el ID del caso del que quieras descargar archivos. |
| Ruta de la carpeta de descargas | Cadena | N/A | Sí | Especifica la ruta de la carpeta en la que quieras almacenar los archivos del caso. |
| Sobrescribir | Bool | Falso | Sí | Si está habilitada, la acción sobrescribe el archivo con el mismo nombre. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{"absolute_file_paths": ["file_path_1","file_path_2"]}
``` ##### Entity
Enrichment
N/A
##### Insights
N/A
##### Case Wall
<table>
<thead>
<tr>
<th><strong>Result type</strong></th>
<th><strong>Value/Description</strong></th>
<th><strong>Type</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Output message*</td>
<td><p><strong>The action should not fail nor stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If the</em> <strong></strong> <em>200 status code for all cases is reported (is_success=true):</em> "Successfully downloaded files related to case with ID {ID} in LogRhythm."</p><p></p><p><em>If no files are found (is_success=true): "</em>No related files were found for the case with ID {ID} in LogRhythm."</p><p></p><p><strong>The action should fail and stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If a</em> <strong></strong> <em>fatal error, like wrong credentials, no connection to the server, other is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(error.Stacktrace)"</p><p></p><p><em>If the 404 status code is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(message)"</p><p></p><p><em>If a file with the same name already exists, but "Overwrite" is set to false:</em> "Error executing action "Download Case Files". Reason: files with path {0} already exist. Please delete the files or set "Overwrite" to true."</p></td>
<td>General</td>
</tr>
</tbody>
</table>
### List Entity Events
#### Description
List events related to entities in LogRhythm. Supported entities: Hostname, IP
Address, User, CVE, Hash, URL.
Note: This action runs as async. Adjust the script timeout value in the
Google SecOps IDE for the action as needed.
#### Parameters
<table>
<thead>
<tr>
<th><strong>Parameter Display Name</strong></th>
<th><strong>Type</strong></th>
<th><strong>Default Value</strong></th>
<th><strong>Is Mandatory</strong></th>
<th><strong>Description</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Time Frame</td>
<td>DDL</td>
<td><p>Last Hour</p><p><strong></strong></p><p>Possible Values: </p><ul><li>Last Hour</li><li>Last 6 Hours</li><li>Last 24 Hours</li><li>Last Week</li><li>Last Month</li><li>Custom</li></ul></td>
<td>No</td>
<td>Name of the watchlist from which you want to remove values.</td>
</tr>
<tr>
<td>Start Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the start time for the results.</p><p></p><p>This parameter is mandatory, if "Custom" is selected for the "Time Frame" parameter. </p><p></p><p>Format: ISO 8601</p><p></p><p>Example: 2021-04-23T12:38Z</p></td>
</tr>
<tr>
<td>End Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the end time for the results. </p><p></p><p>If nothing is provided and "Custom" is selected for the "Time Frame" parameter then this parameter uses current time.</p><p></p><p>Format: ISO 8601</p></td>
</tr>
<tr>
<td>Sort Order</td>
<td>DDL</td>
<td><p>Datetime ASC <strong></strong> </p><p></p><p>Possible values:</p><ul><li>Datetime ASC</li><li>Datetime DESC</li><li>Risk ASC</li><li>RiskDESC</li></ul></td>
<td>No</td>
<td>Specify the sorting logic for the query.</td>
</tr>
<tr>
<td>Max Events To Return</td>
<td>Integer</td>
<td>50</td>
<td>No</td>
<td>Specify the number of events to return.</td>
</tr>
</tbody>
</table>
#### Run On
This action runs on the following entities:
* Hostname
* IP Address
* User
* CVE
* Hash
* URL
#### Action Results
##### Script Result
<table>
<thead>
<tr>
<th><strong>Script Result Name</strong></th>
<th><strong>Value Options</strong></th>
<th><strong>Example</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>is_success</td>
<td>True/False</td>
<td>is_success:False</td>
</tr>
</tbody>
</table>
##### JSON Result
```json
{
"kBytes": 2521.025390625,
"kBytesIn": 2500.0,
"kBytesOut": 21.025390625,
"outboundKBytes": 21.025390625,
"impactedHostTotalKBytes": 2521.025390625,
"keyField": "messageId",
"count": 1,
"classificationId": 3200,
"classificationName": "Error",
"classificationTypeName": "Operations",
"commonEventName": "HTTP 504 : Server Error - Gateway Time-Out",
"commonEventId": 8938,
"direction": 3,
"directionName": "External",
"entityId": 2,
"entityName": "EchoTestEntity",
"rootEntityId": 2,
"rootEntityName": "EchoTestEntity",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHost": "192.0.2.11",
"impactedInterface": "0",
"impactedIp": "192.0.2.11",
"impactedPort": 80,
"impactedZoneName": "External",
"indexedDate": 1629460029041,
"insertedDate": 1629123439811,
"logDate": 1629134239789,
"logMessage": "CISCONGFW EVENT Ev_Id=436 Ev",
"logSourceHost": "EchoTestHost",
"logSourceHostId": 2,
"logSourceHostName": "EchoTestHost",
"logSourceId": 15,
"logSourceName": "Echo_2_1000107",
"logSourceType": 1000107,
"logSourceTypeName": "Flat File - Cisco NGFW",
"messageId": "23066",
"messageTypeEnum": 2,
"mpeRuleId": 1176829,
"mpeRuleName": "HTTP 504 : Server Error : Gateway Timeout",
"normalDate": 1629123439791,
"normalDateMin": 1629123439791,
"normalMsgDateMax": 1629123439791,
"normalDateHour": 1629122400000,
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHost": "192.0.2.12",
"originInterface": "0",
"originIp": "192.0.2.12",
"originPort": 14042,
"originZone": 3,
"originZoneName": "External",
"priority": 38,
"process": "5",
"processId": 300003,
"protocolId": 6,
"protocolName": "TCP",
"serviceId": 1388,
"serviceName": "HTTP",
"portProtocol": "HTTP",
"session": "436",
"severity": "57",
"url": "http://www.google.com/",
"vendorMessageId": "504",
"version": "2",
"status": "504"
}
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se encuentran datos de una entidad (is_success=true): "Successfully retrieved events for the following entities in LogRhythm: {entity.identifier}." ("Se han recuperado correctamente los eventos de las siguientes entidades en LogRhythm: {entity.identifier}.") Si falla en una entidad (is_success=true): "Action wasn't able to retrieve events for the following entities in LogRhythm: {entity.identifier}." ("La acción no ha podido recuperar eventos de las siguientes entidades en LogRhythm: {entity.identifier}"). Si falla para todas las entidades (is_success=false): "No se han podido recuperar los eventos de las entidades proporcionadas en LogRhythm". Si no hay datos de al menos una entidad (is_success=true): "No se han encontrado eventos de las siguientes entidades en LogRhythm: {entity.identifier}." Si no hay datos de todas las entidades (is_success=false): "No se han encontrado eventos de las entidades proporcionadas en LogRhythm". Si se ha agotado el tiempo de espera de una entidad (is_success=true): "Se ha agotado el tiempo de espera de la acción durante la ejecución. Entidades pendientes: {entities that didn't return data}. Aumenta el tiempo de espera de la acción en el IDE". Mensaje asíncrono: "Waiting for events information for the following entities: {entity.identifier}" ("Esperando información de eventos de las siguientes entidades: {entity.identifier}") La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, falta de conexión con el servidor u otro error: "Error al ejecutar la acción "List Entity Events". Motivo: {0}''.format(error.Stacktrace)" Si se ha agotado el tiempo de espera de todas las entidades (is_success=false): "Error al ejecutar la acción "List Entity Events". Motivo: la acción ha superado el tiempo de espera durante la ejecución. No se ha obtenido información sobre los eventos de las entidades proporcionadas. Aumenta el tiempo de espera de la acción en el IDE". Si el parámetro "Hora de inicio" está vacío y el parámetro "Periodo" se define como "Personalizado" (error): "Error al ejecutar la acción "". Motivo: Se debe proporcionar el valor del parámetro "Hora de inicio" cuando se selecciona "Personalizado" en el parámetro "Periodo"." Si el parámetro "Hora de inicio" tiene un valor mayor que el parámetro "Hora de finalización" (error): "Error al ejecutar la acción "". Motivo: "Hora de finalización" debe ser posterior a "Hora de inicio". Si el número máximo de elementos que se van a devolver no es superior a 0: "Error al ejecutar la acción "". Motivo: "Max Events To Return" (Número máximo de eventos que se van a devolver) debe ser superior a 0. |
General |
| Tabla del panel de casos | Nombre de la tabla: {entity.identifier} Columnas de tabla:
Nota: Esta columna se mostrará si hay al menos un registro con un valor. |
Entidad |
Conectores
Conector de casos de LogRhythm
Descripción
Extraer casos de LogRhythm.
Parámetros de conectores
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | N/A | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | event_type | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | https://{IP}:8501 | Sí | Raíz de la API de la instancia de LogRhythm. |
| Token de API | Contraseña | N/A | Sí | Token de API de LogRhythm. |
| Máximo de días hacia atrás | Entero | 1 | Sí | Número de días a partir del cual se obtienen los casos. |
| Prioridad más baja para obtener | Entero | N/A | No | La prioridad más baja que se debe usar para obtener casos. Si no se proporciona nada, se ingieren los casos con todas las prioridades. Valores posibles: del 1 al 5. |
| Límite de recuento de alertas | Entero | 10 | Sí | Número de casos que se procesarán por iteración de conector. |
| Archivo de certificado de AC | Cadena | N/A | No | Archivo de certificado de CA codificado en Base64. |
| Usar la lista blanca como lista negra | Casilla | Desmarcada | Sí | Si se habilita, la lista de permitidos se usa como lista de bloqueo. |
| Verificar SSL | Casilla | Desmarcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor LogRhythm sea válido. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
Compatibilidad con proxy
El conector admite proxies.
LogRhythm - Conector de alarmas de la API REST
Descripción
Extrae alarmas de LogRhythm mediante la API REST.
Configurar el conector de alarmas de la API REST de LogRhythm en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | classificationTypeName | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo de entorno mediante lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | https://{IP}:8501 | Sí | Raíz de la API de la instancia de LogRhythm. |
| Token de API | Contraseña | N/A | Sí | Token de API de LogRhythm. |
| Número máximo de horas hacia atrás | Entero | 1 | No | Número de horas desde las que se deben obtener las alertas. |
| Número máximo de alarmas que se pueden obtener | Entero | 10 | No | Número de alertas que se procesarán por cada iteración del conector. |
| Usar la lista blanca como lista negra | Casilla | Desmarcada | Sí | Si se habilita, la lista de permitidos se usa como lista de bloqueo. |
| Verificar SSL | Casilla | Desmarcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor LogRhythm sea válido. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
Compatibilidad con proxy
El conector admite proxies.
Empleo
Sincronizar comentarios de casos
Descripción
Este trabajo sincroniza los comentarios de los casos de LogRhythm y de Google SecOps.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https://{IP}:8501 | Sí | Raíz de la API de la instancia de LogRhythm. |
| Token de API | Contraseña | N/A | Sí | Token de API de LogRhythm. |
| Archivo de certificado de AC | Cadena | N/A | No | Archivo de certificado de CA codificado en Base64. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor LogRhythm sea válido. |
Sincronizar casos cerrados
Descripción
Este trabajo sincroniza los casos cerrados de LogRhythm y las alertas de Google SecOps.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https://{IP}:8501 | Sí | Raíz de la API de la instancia de LogRhythm. |
| Token de API | Contraseña | N/A | Sí | Token de API de LogRhythm. |
| Archivo de certificado de AC | Cadena | N/A | No | Archivo de certificado de CA codificado en Base64. |
| Número máximo de horas hacia atrás | Entero | 24 | No | Especifica el número de horas hacia atrás para sincronizar los estados. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor LogRhythm sea válido. |
Sincronizar comentarios de alarmas
Descripción
Este trabajo sincroniza los comentarios de las alarmas de LogRhythm y los casos de Google SecOps.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https://{IP}:8501 | Sí | Raíz de la API de la instancia de LogRhythm. |
| Token de API | Contraseña | N/A | Sí | Token de API de LogRhythm. |
| Archivo de certificado de AC | Cadena | N/A | No | Archivo de certificado de CA codificado en Base64. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor LogRhythm sea válido. |
Sincronizar alarmas cerradas
Descripción
Este trabajo sincroniza las alarmas cerradas de LogRhythm y las alertas de Google SecOps.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https://{IP}:8501 | Sí | Raíz de la API de la instancia de LogRhythm. |
| Token de API | Contraseña | N/A | Sí | Token de API de LogRhythm. |
| Archivo de certificado de AC | Cadena | N/A | No | Archivo de certificado de CA codificado en Base64. |
| Número máximo de horas hacia atrás | Entero | 24 | No | Especifica el número de horas hacia atrás para sincronizar los estados. |
| Verificar SSL | Casilla | Marcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor LogRhythm sea válido. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.