LogRhythm
Version de l'intégration : 17.0
À partir de la version 10 de cette intégration, il n'y aura plus de connecteur d'alarmes. Ce connecteur est obsolète, car l'API SOAP est obsolète du côté de LogRhythm. L'ensemble de l'intégration utilise désormais l'API REST introduite dans la version 7.9 de LogRhythm.
Pour en savoir plus, consultez API SOAP (LogRhythm 7.x.x).
De plus, l'intégration est mise à jour vers la version 3 de Python. Par conséquent, il n'est pas possible de conserver ce connecteur (à partir de la version 9) avec la nouvelle version de l'intégration (version 10), car cela entraîne des comportements inattendus.
Suivez la procédure recommandée pour cette mise à jour :
Avant de mettre à jour l'intégration vers la version 10, migrez chaque "LogRhythm Alarms Connector" vers "LogRhythm - Rest API Alarms Connector" à l'aide de la version 9 de l'intégration.
Mettez à jour l'intégration vers la version 10.
Configurer l'intégration LogRhythm dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://{IP}:8501 | Oui | Racine de l'API de l'instance LogRhythm. |
| Jeton d'API | Mot de passe | N/A | Non | Jeton d'API de l'instance LogRhythm. |
| Fichier de certificat CA | Chaîne | N/A | Non | Fichier de certificat CA encodé en base64. |
| Vérifier le protocole SSL | Case à cocher | Décochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur LogRhythm est valide. |
Actions
Ping
Description
Testez la connectivité à LogRhythm avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet "Google Security Operations Marketplace".
Paramètres
N/A
Cas d'utilisation
N/A
Exécuter sur
Cette action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "La connexion au serveur LogRhythm a bien été établie avec les paramètres de connexion fournis !" L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur LogRhythm ! Error is {0}".format(exception.stacktrace) |
Général |
Enrichir les entités
Description
Enrichissez les entités à l'aide des informations de LogRhythm. Entités acceptées : nom d'hôte, adresse IP.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Créer un insight | Case à cocher | Cochée | Non | Si cette option est activée, l'action crée un insight contenant toutes les informations récupérées sur l'entité. |
Date d'exécution
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
{
"id": 2,
"entity": {
"id": 2,
"name": "EchoTestEntity"
},
"name": "EchoTestHost",
"shortDesc": "LogRhythm ECHO",
"riskLevel": "None",
"threatLevel": "None",
"threatLevelComments": "",
"recordStatusName": "Active",
"hostZone": "Internal",
"location": {
"id": -1
},
"os": "Windows",
"osVersion": "Microsoft Windows NT 6.2.9200.0",
"useEventlogCredentials": false,
"osType": "Server",
"dateUpdated": "2021-04-14T09:18:17.677Z",
"hostRoles": [],
"hostIdentifiers": [
{
"type": "IPAddress",
"value": "10.1.2.50",
"dateAssigned": "2021-04-14T09:17:31Z"
},
{
"type": "WindowsName",
"value": "EchoTestHost",
"dateAssigned": "2021-04-14T09:17:31Z"
}
]
}
Enrichissement d'entités
| Nom du champ d'enrichissement | Logique : quand l'appliquer ? |
|---|---|
| description | Lorsqu'il est disponible au format JSON |
| risk_level | Lorsqu'il est disponible au format JSON |
| threat_level | Lorsqu'il est disponible au format JSON |
| état | Lorsqu'il est disponible au format JSON |
| host_zone | Lorsqu'il est disponible au format JSON |
| os | Lorsqu'il est disponible au format JSON |
| type | Lorsqu'il est disponible au format JSON |
| ips | Lorsqu'il est disponible au format JSON |
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles pour une entité (is_success=true) : "Les entités suivantes ont été enrichies avec succès à l'aide des informations de LogRhythm : {entity.identifier}". Si les données ne sont pas disponibles pour une entité (is_success=true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide des informations de LogRhythm : {entity.identifier}". Si les données ne sont pas disponibles pour toutes les entités (is_success=false) : "Aucune des entités fournies n'a été enrichie." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Enrichir les entités". Raison : {0}''.format(error.Stacktrace) |
Général |
| Tableau du mur des cas | Titre du tableau : {entity.identifier} | Entité |
Modifier une alarme
Description
Mettez à jour une alarme dans LogRhythm.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'alarme | Chaîne | N/A | Oui | Spécifiez l'ID de l'alarme à mettre à jour dans LogRhythm. |
| État | LDD | Sélectionnez une réponse Valeurs possibles :
|
Non | Spécifiez l'état de l'alarme. |
| Score de risque | Integer | N/A | Non | Spécifiez un nouveau score de risque pour l'alarme. Maximum : 100 |
Date d'exécution
Cette action s'applique aux entités suivantes :
- URL
- Adresse IP
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est signalé (is_success=true) : "L'alarme avec l'ID {ID} a été mise à jour dans LogRhythm." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Mettre à jour l'alarme". Raison : {0}''.format(error.Stacktrace) Si le code d'état n'est pas 200 : "Erreur lors de l'exécution de l'action "Modifier l'alarme". Reason: {0}''.format(responseMessage)" Si le paramètre "État" est défini sur "Sélectionner une option" et qu'aucune autre valeur n'est fournie : "Erreur lors de l'exécution de l'action "Mettre à jour l'alarme". Motif : au moins un des paramètres d'action doit avoir une valeur fournie." |
Général |
Obtenir les détails d'une alarme
Description
Obtenez les détails des alarmes dans LogRhythm. Cette action vous permet d'obtenir des informations à partir des événements LogRhythm Advanced Intelligence Engine (AIE) et d'ingérer ces données dans Google SecOps.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID des alarmes | CSV | N/A | Oui | Spécifiez une liste d'ID d'alarmes séparés par une virgule pour lesquelles nous devons récupérer des informations. |
| Nombre maximal d'événements à récupérer | Integer | 50 | Non | Spécifiez le nombre d'événements à renvoyer. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
[
{
"alarmRuleID": 98,
"alarmId": 18755,
"personId": -100,
"alarmDate": "2021-08-17T13:36:39.78",
"alarmStatus": 0,
"alarmStatusName": "New",
"entityId": 2,
"entityName": "EchoTestEntity",
"alarmRuleName": "LogRhythm Agent Heartbeat Missed",
"lastUpdatedID": -100,
"lastUpdatedName": "LogRhythm Administrator",
"dateInserted": "2021-08-17T13:36:39.807",
"dateUpdated": "2021-08-17T13:36:39.86",
"associatedCases": [],
"lastPersonID": null,
"eventCount": 1,
"eventDateFirst": "2021-08-17T13:36:37.057",
"eventDateLast": "2021-08-17T13:36:37.057",
"rbpMax": 39,
"rbpAvg": 39,
"smartResponseActions": null,
"alarmDataCached": "N",
"alarmEventsDetails": [
{
"account": "admin5",
"action": "",
"amount": null,
"bytesIn": null,
"bytesOut": null,
"classificationId": 2600,
"classificationName": "Compromise",
"classificationTypeName": "Security",
"command": "",
"commonEventId": 1031412,
"cve": "",
"commonEventName": "AIE: CSC: Disabled Account Auth Success",
"count": 1,
"directionId": 0,
"directionName": "Unknown",
"domain": "",
"duration": 0,
"entityId": -1000001,
"entityName": "",
"group": "",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHostId": -1,
"impactedHostName": "",
"impactedInterface": "",
"impactedIP": null,
"impactedLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"impactedMAC": "",
"impactedName": "",
"impactedNATIP": "",
"impactedNATPort": null,
"impactedNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"impactedPort": -1,
"impactedZone": "Unknown",
"itemsPacketsIn": 0,
"itemsPacketsOut": 0,
"logDate": "2021-08-16T09:51:16.993",
"login": "admin5",
"logMessage": "",
"logSourceHostId": -1000001,
"logSourceHostName": "AI Engine Server",
"logSourceName": "AI Engine",
"logSourceTypeName": "LogRhythm AI Engine",
"messageId": 173885,
"mpeRuleId": -1,
"mpeRuleName": "",
"normalDateMax": "0001-01-01T00:00:00",
"objectName": "",
"objectType": "",
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHostName": "",
"originInterface": "",
"originIP": null,
"originLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"originMAC": "",
"originName": "",
"originNATIP": "",
"originNATPort": null,
"originNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"originPort": -1,
"originZone": "Unknown",
"parentProcessId": "",
"parentProcessName": "",
"parentProcessPath": "",
"policy": "",
"priority": 91,
"process": "",
"processId": -1,
"protocolId": -1,
"protocolName": "",
"quantity": 0,
"rate": 0,
"reason": "",
"recipient": "",
"result": "",
"responseCode": "",
"sender": "",
"session": "",
"recipientIdentityId": null,
"recipientIdentityName": ""
}
]
}
]
Enrichissement d'entités
N/A
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est signalé pour une entité (is_success=true) : "Successfully retrieved details for the following alarms in LogRhythm: {IDs}" (Détails récupérés pour les alarmes suivantes dans LogRhythm : {IDs}) Si aucune alarme n'est trouvée (is_success=true) : "Les alarmes suivantes n'ont pas été trouvées dans LogRhythm : {IDs}" Si toutes les alarmes ne sont pas trouvées (is_success=false) : "Aucune des alarmes fournies n'a été trouvée dans LogRhythm." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou autre) : "Erreur lors de l'exécution de l'action "Obtenir les détails de l'alarme". Raison : {0}''.format(error.Stacktrace) |
Général |
| Tableau du mur des cas | Nom de la table : Événements de l'alarme {ID} Colonnes du tableau :
|
Général |
Ajouter un commentaire à une alarme
Description
Ajoutez un commentaire à l'alarme dans LogRhythm.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'alarme | Chaîne | N/A | Oui | Spécifiez l'ID de l'alarme à laquelle vous devez ajouter un commentaire dans LogRhythm. |
| Commentaire | Chaîne | N/A | Oui | Spécifiez un commentaire à ajouter à l'alarme. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est signalé (is_success=true) : "Commentaire ajouté à l'alarme avec l'ID {ID} dans LogRhythm." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Ajouter un commentaire à l'alarme". Raison : {0}''.format(error.Stacktrace) Si le code d'état n'est pas 200 : "Erreur lors de l'exécution de l'action "Ajouter un commentaire à l'alarme". Raison : {0}''.format(responseMessage) |
Général |
Lister les preuves d'une demande
Description
Lister les preuves d'un cas dans LogRhythm
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Numéro de demande | Chaîne | N/A | Oui | Spécifiez l'ID de la demande pour laquelle vous souhaitez renvoyer une liste de preuves. |
| Filtre d'état | CSV | N/A | Non | Spécifiez une liste de filtres d'état pour les preuves, séparés par une virgule. Valeurs possibles : "pending" (en attente), "completed" (terminé) et "failed" (échec). Si rien n'est fourni, l'action renvoie des preuves de tous les états. |
| Filtre par type | CSV | N/A | Non | Spécifiez une liste de filtres de type pour la preuve, séparés par une virgule. Valeurs possibles : alarm, userEvents, log, note, file. Si rien n'est indiqué, l'action renvoie des preuves de tous les types. |
| Nombre maximal de preuves à renvoyer | Integer | 50 | Non | Spécifiez le nombre de preuves à renvoyer. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
[
{
"number": 4,
"dateCreated": "2021-07-31T11:00:40.2433333Z",
"dateUpdated": "2021-07-31T11:00:40.2433333Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "test",
"pinned": false,
"datePinned": null,
"file": {
"name": "UploadCustomListTemplate .csv",
"size": 161
}
}
]
Enrichissement d'entités
N/A
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est signalé (is_success=true) : "Les preuves liées à la demande portant l'ID {ID} ont bien été listées dans LogRhythm." Si aucune preuve n'est disponible (is_success=false) : "Aucune preuve n'a été trouvée pour la demande portant l'ID {ID} dans LogRhythm." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Lister les preuves de la demande". Raison : {0}''.format(error.Stacktrace) Si le code d'état 404 est signalé : "Erreur lors de l'exécution de l'action "List Case Evidence". Motif : {0}''.format(message) Si une valeur non valide est fournie pour le paramètre "Status" (État) : "Error executing action "List Case Evidence". Motif : valeurs non valides fournies dans le paramètre "Filtre d'état" : {invalid value}. Valeurs possibles : "pending" (en attente), "completed" (terminé) et "failed" (échec). Si une valeur non valide est fournie pour le paramètre "Type" : "Erreur lors de l'exécution de l'action "Lister les pièces jointes". Motif : valeurs non valides fournies dans le paramètre "Type" : {invalid value}. Valeurs possibles : alarm, userEvents, log, note, file. |
Général |
| Mur des cas | Preuves de la demande {case id} Type État Contexte |
Ajouter une alarme à une demande
Description
Ajoutez une alarme à la demande dans LogRhythm.
Paramètre
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Numéro de demande | Chaîne | N/A | Oui | Spécifiez l'ID de la demande à laquelle vous souhaitez ajouter des alarmes. |
| ID des alarmes | CSV | N/A | Oui | Spécifiez une liste d'alarmes à ajouter à la demande, séparées par une virgule. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
[
{
"number": 23,
"dateCreated": "2021-08-11T09:02:17.0066667Z",
"dateUpdated": "2021-08-11T09:02:17.0066667Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15298,
"alarmDate": "2021-07-30T02:07:29.813+03:00",
"alarmRuleId": 1000,
"alarmRuleName": "AIE: ISO-27001: File Monitoring Event-File Changes",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": -100,
"entityName": "Global Entity",
"riskBasedPriorityMax": 1
}
},
{
"number": 24,
"dateCreated": "2021-08-11T09:03:18.65Z",
"dateUpdated": "2021-08-11T09:03:18.65Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15297,
"alarmDate": "2021-07-30T02:07:28.353+03:00",
"alarmRuleId": 1419,
"alarmRuleName": "AIE: CCF: FIM General Activity",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": 1,
"entityName": "Primary Site",
"riskBasedPriorityMax": 0
}
}
]
Enrichissement d'entités
N/A
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 201 est signalé (is_success=true) : "Les preuves d'alarme liées à la demande portant l'ID {ID} ont bien été ajoutées dans LogRhythm." Si le code d'état 200 est signalé (is_success=true) : "Toutes les preuves d'alarme fournies faisaient déjà partie de la demande portant l'ID {ID} dans LogRhythm." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Ajouter une alarme à la demande". Raison : {0}''.format(error.Stacktrace) Si le code d'état 404 est signalé : "Erreur lors de l'exécution de l'action "Ajouter une alarme à la demande". Motif : {0}''.format(message or details) |
Général |
Joindre un fichier à une demande
Description
Joignez un fichier à la demande dans LogRhythm.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Numéro de demande | Chaîne | N/A | Oui | Spécifiez l'ID de la demande à laquelle vous souhaitez joindre des fichiers. |
| Chemins des fichiers | CSV | N/A | Oui | Spécifiez une liste de chemins d'accès absolus aux fichiers, séparés par une virgule. |
| Remarque | Chaîne | N/A | Non | Spécifiez une note à ajouter à la demande avec le fichier. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
[
{
"number": 26,
"dateCreated": "2021-08-11T09:17:33.91Z",
"dateUpdated": "2021-08-11T09:17:33.91Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"file": {
"name": "Get Deep Visibility Query Result_JsonResultSample.json",
"size": 4979
}
}
]
Enrichissement d'entités
N/A
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération a été effectuée pour un fichier path (is_success=true) : "Les fichiers suivants ont bien été ajoutés à la demande portant l'ID {ID} dans LogRhythm." Si l'opération a échoué pour un chemin d'accès (is_success= true) : "L'action n'a pas pu ajouter les fichiers suivants à la demande portant l'ID {ID} dans LogRhythm : {failed file paths}". Si l'opération échoue pour tous les chemins d'accès aux fichiers (is_success=false) : "Aucun fichier n'a été ajouté à la demande portant l'ID {ID} dans LogRhythm." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Joindre un fichier à la demande". Raison : {0}''.format(error.Stacktrace) Si le code d'état 404 est signalé : "Erreur lors de l'exécution de l'action "Joindre un fichier à la demande". Motif : {0}''.format(message) Si vous avez rencontré un délai d'attente : "Erreur lors de l'exécution de l'action "Joindre un fichier à la demande". Motif : l'action a expiré. Les fichiers suivants sont toujours en cours de traitement : {pending files}. Veuillez augmenter le délai avant expiration dans l'IDE. Remarque : Si vous ajoutez le même fichier, une entrée distincte sera créée dans LogRhythm. |
Général |
Ajouter une note à la demande
Description
Ajoutez une note à la demande dans LogRhythm.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Numéro de demande | Chaîne | N/A | Oui | Spécifiez l'ID de la demande à laquelle vous souhaitez ajouter une note. |
| Remarque | Chaîne | N/A | Oui | Spécifiez une note à ajouter à la demande. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
{
"number": 29,
"dateCreated": "2021-08-11T12:21:11.5547306Z",
"dateUpdated": "2021-08-11T12:21:11.5547306Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "note",
"status": "completed",
"statusMessage": null,
"text": "asdasd",
"pinned": false,
"datePinned": null
}
Enrichissement d'entités
N/A
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 201 est signalé (is_success=true) : "Une note a bien été ajoutée à la demande portant l'ID {ID} dans LogRhythm." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Ajouter une note à la demande". Raison : {0}''.format(error.Stacktrace) Si le code d'état 404 est signalé : "Erreur lors de l'exécution de l'action "Ajouter une note à la demande". Motif : {0}''.format(message) |
Général |
Créer une demande
Description
Créez une demande dans LogRhythm.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Name | Chaîne | N/A | Oui | Indiquez le nom de la demande. |
| Priorité | LDD | 1 Valeurs possibles :
|
Oui | Spécifiez la priorité de la demande. |
| Date limite | Chaîne | N/A | Non | Indiquez la date limite pour la demande. Format : ISO 8601 Exemple : 2021-04-23T12:38Z |
| Description | Chaîne | N/A | Non | Saisissez une description de la demande. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:37:42.8942168Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
Enrichissement d'entités
N/A
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 201 est signalé (is_success=true) : "La demande {number} a bien été créée dans LogRhythm." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou autre) : "Erreur lors de l'exécution de l'action "Créer une demande". Raison : {0}''.format(error.Stacktrace) Si le code d'état 404 est signalé : "Erreur lors de l'exécution de l'action "Créer une demande". Motif : {0}''.format(message) |
Général |
Mettre à jour la demande
Description
Mettez à jour une demande dans LogRhythm.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Numéro de demande | Chaîne | N/A | Oui | Spécifiez l'ID de la demande à mettre à jour. |
| Nom | Chaîne | N/A | Non | Indiquez un nouveau nom pour la demande. |
| Priorité | LDD | Sélectionnez une réponse Valeurs possibles :
|
Non | Spécifiez une nouvelle priorité pour la demande. |
| Date limite | Chaîne | N/A | Non | Indiquez une nouvelle date limite pour la demande. Format : ISO 8601 Exemple : 2021-04-23T12:38Z |
| Description | Chaîne | N/A | Non | Saisissez une nouvelle description pour la demande. |
| Solution | Chaîne | N/A | Non | Indiquez comment la demande a été résolue. |
| État | LDD | Sélectionnez une réponse Valeurs possibles :
|
Non | Spécifiez le nouvel état de la demande. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:48:52.9765558Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
Enrichissement d'entités
N/A
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 201 est signalé (is_success=true) : "La demande {ID} a été mise à jour dans LogRhythm." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Mettre à jour la demande". Raison : {0}''.format(error.Stacktrace)" Si le code d'état 404 est signalé : "Erreur lors de l'exécution de l'action "Mettre à jour la demande". Motif : {0}''.format(message) Si le code d'état est 400 : "Erreur lors de l'exécution de l'action "Mettre à jour la demande". Raison : {0}''.format(validationErrors)" Si le paramètre "État" ou "Priorité" est défini sur "Sélectionner" et qu'aucune autre valeur n'est fournie : "Erreur lors de l'exécution de l'action "Mettre à jour la demande". Motif : au moins un des paramètres d'action doit avoir une valeur fournie." |
Général |
Télécharger des fichiers de bibliothèque
Description
Téléchargez les fichiers liés à la demande dans LogRhythm.
Paramètres
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Numéro de demande | Chaîne | N/A | Oui | Spécifiez l'ID de la demande à partir de laquelle vous souhaitez télécharger des fichiers. |
| Chemin d'accès au dossier de téléchargement | Chaîne | N/A | Oui | Spécifiez le chemin d'accès au dossier dans lequel vous souhaitez stocker les fichiers de la demande. |
| Remplacer | Bool | Faux | Oui | Si cette option est activée, l'action écrase le fichier portant le même nom. |
Date d'exécution
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
{"absolute_file_paths": ["file_path_1","file_path_2"]}
``` ##### Entity
Enrichment
N/A
##### Insights
N/A
##### Case Wall
<table>
<thead>
<tr>
<th><strong>Result type</strong></th>
<th><strong>Value/Description</strong></th>
<th><strong>Type</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Output message*</td>
<td><p><strong>The action should not fail nor stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If the</em> <strong></strong> <em>200 status code for all cases is reported (is_success=true):</em> "Successfully downloaded files related to case with ID {ID} in LogRhythm."</p><p></p><p><em>If no files are found (is_success=true): "</em>No related files were found for the case with ID {ID} in LogRhythm."</p><p></p><p><strong>The action should fail and stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If a</em> <strong></strong> <em>fatal error, like wrong credentials, no connection to the server, other is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(error.Stacktrace)"</p><p></p><p><em>If the 404 status code is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(message)"</p><p></p><p><em>If a file with the same name already exists, but "Overwrite" is set to false:</em> "Error executing action "Download Case Files". Reason: files with path {0} already exist. Please delete the files or set "Overwrite" to true."</p></td>
<td>General</td>
</tr>
</tbody>
</table>
### List Entity Events
#### Description
List events related to entities in LogRhythm. Supported entities: Hostname, IP
Address, User, CVE, Hash, URL.
Note: This action runs as async. Adjust the script timeout value in the
Google SecOps IDE for the action as needed.
#### Parameters
<table>
<thead>
<tr>
<th><strong>Parameter Display Name</strong></th>
<th><strong>Type</strong></th>
<th><strong>Default Value</strong></th>
<th><strong>Is Mandatory</strong></th>
<th><strong>Description</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Time Frame</td>
<td>DDL</td>
<td><p>Last Hour</p><p><strong></strong></p><p>Possible Values: </p><ul><li>Last Hour</li><li>Last 6 Hours</li><li>Last 24 Hours</li><li>Last Week</li><li>Last Month</li><li>Custom</li></ul></td>
<td>No</td>
<td>Name of the watchlist from which you want to remove values.</td>
</tr>
<tr>
<td>Start Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the start time for the results.</p><p></p><p>This parameter is mandatory, if "Custom" is selected for the "Time Frame" parameter. </p><p></p><p>Format: ISO 8601</p><p></p><p>Example: 2021-04-23T12:38Z</p></td>
</tr>
<tr>
<td>End Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the end time for the results. </p><p></p><p>If nothing is provided and "Custom" is selected for the "Time Frame" parameter then this parameter uses current time.</p><p></p><p>Format: ISO 8601</p></td>
</tr>
<tr>
<td>Sort Order</td>
<td>DDL</td>
<td><p>Datetime ASC <strong></strong> </p><p></p><p>Possible values:</p><ul><li>Datetime ASC</li><li>Datetime DESC</li><li>Risk ASC</li><li>RiskDESC</li></ul></td>
<td>No</td>
<td>Specify the sorting logic for the query.</td>
</tr>
<tr>
<td>Max Events To Return</td>
<td>Integer</td>
<td>50</td>
<td>No</td>
<td>Specify the number of events to return.</td>
</tr>
</tbody>
</table>
#### Run On
This action runs on the following entities:
* Hostname
* IP Address
* User
* CVE
* Hash
* URL
#### Action Results
##### Script Result
<table>
<thead>
<tr>
<th><strong>Script Result Name</strong></th>
<th><strong>Value Options</strong></th>
<th><strong>Example</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>is_success</td>
<td>True/False</td>
<td>is_success:False</td>
</tr>
</tbody>
</table>
##### JSON Result
```json
{
"kBytes": 2521.025390625,
"kBytesIn": 2500.0,
"kBytesOut": 21.025390625,
"outboundKBytes": 21.025390625,
"impactedHostTotalKBytes": 2521.025390625,
"keyField": "messageId",
"count": 1,
"classificationId": 3200,
"classificationName": "Error",
"classificationTypeName": "Operations",
"commonEventName": "HTTP 504 : Server Error - Gateway Time-Out",
"commonEventId": 8938,
"direction": 3,
"directionName": "External",
"entityId": 2,
"entityName": "EchoTestEntity",
"rootEntityId": 2,
"rootEntityName": "EchoTestEntity",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHost": "192.0.2.11",
"impactedInterface": "0",
"impactedIp": "192.0.2.11",
"impactedPort": 80,
"impactedZoneName": "External",
"indexedDate": 1629460029041,
"insertedDate": 1629123439811,
"logDate": 1629134239789,
"logMessage": "CISCONGFW EVENT Ev_Id=436 Ev",
"logSourceHost": "EchoTestHost",
"logSourceHostId": 2,
"logSourceHostName": "EchoTestHost",
"logSourceId": 15,
"logSourceName": "Echo_2_1000107",
"logSourceType": 1000107,
"logSourceTypeName": "Flat File - Cisco NGFW",
"messageId": "23066",
"messageTypeEnum": 2,
"mpeRuleId": 1176829,
"mpeRuleName": "HTTP 504 : Server Error : Gateway Timeout",
"normalDate": 1629123439791,
"normalDateMin": 1629123439791,
"normalMsgDateMax": 1629123439791,
"normalDateHour": 1629122400000,
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHost": "192.0.2.12",
"originInterface": "0",
"originIp": "192.0.2.12",
"originPort": 14042,
"originZone": 3,
"originZoneName": "External",
"priority": 38,
"process": "5",
"processId": 300003,
"protocolId": 6,
"protocolName": "TCP",
"serviceId": 1388,
"serviceName": "HTTP",
"portProtocol": "HTTP",
"session": "436",
"severity": "57",
"url": "http://www.google.com/",
"vendorMessageId": "504",
"version": "2",
"status": "504"
}
Mur des cas
| Type de résultat | Valeur / Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont trouvées pour une entité (is_success=true) : "Événements récupérés pour les entités suivantes dans LogRhythm : {entity.identifier}." Si l'opération a échoué pour une entité (is_success=true) : "L'action n'a pas pu récupérer les événements pour les entités suivantes dans LogRhythm : {entity.identifier}." Si l'action a échoué pour toutes les entités (is_success=false) : "L'action n'a pas pu récupérer les événements pour les entités fournies dans LogRhythm." Si aucune donnée n'est disponible pour au moins une entité (is_success=true) : "Aucun événement n'a été trouvé pour les entités suivantes dans LogRhythm : {entity.identifier}." Si aucune donnée n'est disponible pour toutes les entités (is_success=false) : "Aucun événement n'a été trouvé pour les entités fournies dans LogRhythm." Si vous avez rencontré un délai d'expiration pour une entité (is_success=true) : "L'action a rencontré un délai d'expiration lors de l'exécution. Entités en attente : {entités n'ayant renvoyé aucune donnée}. Veuillez augmenter le délai avant expiration de l'action dans l'IDE." Message asynchrone : "En attente d'informations sur les événements pour les entités suivantes : {entity.identifier}" L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Lister les événements d'entité". Raison : {0}''.format(error.Stacktrace)" Si vous avez rencontré un délai d'attente pour toutes les entités (is_success=false) : "Erreur lors de l'exécution de l'action "Lister les événements d'entité". Motif : L'action a expiré lors de l'exécution. Aucune information sur les événements n'a été récupérée pour les entités fournies. Veuillez augmenter le délai avant expiration de l'action dans l'IDE." Si le paramètre "Heure de début" est vide alors que le paramètre "Période" est défini sur "Personnalisée" (échec) : "Erreur lors de l'exécution de l'action "". Raison : l'heure de début doit être indiquée lorsque l'option "Personnalisée" est sélectionnée dans le paramètre "Période"." Si la valeur du paramètre "Heure de début" est supérieure à celle du paramètre "Heure de fin" (échec) : "Erreur lors de l'exécution de l'action "". Raison : "L'heure de fin" doit être postérieure à "l'heure de début". Si le nombre maximal d'éléments à renvoyer n'est pas supérieur à 0 : "Erreur lors de l'exécution de l'action "". Raison : "Nombre maximal d'événements à renvoyer" doit être supérieur à 0. |
Général |
| Tableau du mur des cas | Nom de la table : {entity.identifier} Colonnes du tableau :
Remarque : Cette colonne sera visible s'il existe au moins un enregistrement avec une valeur. |
Entité |
Connecteurs
Connecteur LogRhythm Cases
Description
Extrayez les demandes de LogRhythm.
Paramètres du connecteur
| Nom du paramètre à afficher | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | N/A | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | event_type | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final. |
| Délai avant expiration du script (en secondes) | Integer | 180 | Oui | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | https://{IP}:8501 | Oui | Racine de l'API de l'instance LogRhythm. |
| Jeton d'API | Mot de passe | N/A | Oui | Jeton d'API LogRhythm. |
| Nombre maximal de jours en arrière | Integer | 1 | Oui | Nombre de jours à partir desquels récupérer les cas. |
| Priorité de récupération la plus basse | Integer | N/A | Non | Priorité la plus basse à utiliser pour récupérer les demandes. Si aucune valeur n'est fournie, les demandes de toutes les priorités sont ingérées. Valeurs possibles : de 1 à 5. |
| Limite du nombre d'alertes | Integer | 10 | Oui | Nombre de cas à traiter par itération de connecteur. |
| Fichier de certificat CA | Chaîne | N/A | Non | Fichier de certificat CA encodé en base64. |
| Utiliser la liste blanche comme liste noire | Case à cocher | Décochée | Oui | Si cette option est activée, la liste blanche est utilisée comme liste noire. |
| Vérifier le protocole SSL | Case à cocher | Décochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur LogRhythm est valide. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
LogRhythm : connecteur d'alarmes de l'API REST
Description
Extraire les alarmes de LogRhythm à l'aide de l'API REST.
Configurer le connecteur d'alarmes de l'API REST LogRhythm dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | Nom du produit | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | classificationTypeName | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final. |
| Délai avant expiration du script (en secondes) | Integer | 180 | Oui | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | https://{IP}:8501 | Oui | Racine de l'API de l'instance LogRhythm. |
| Jeton d'API | Mot de passe | N/A | Oui | Jeton d'API LogRhythm. |
| Nombre maximal d'heures en arrière | Integer | 1 | Non | Nombre d'heures à partir desquelles récupérer les alertes. |
| Nombre maximal d'alarmes à récupérer | Integer | 10 | Non | Nombre d'alertes à traiter par itération de connecteur. |
| Utiliser la liste blanche comme liste noire | Case à cocher | Décochée | Oui | Si cette option est activée, la liste blanche est utilisée comme liste noire. |
| Vérifier le protocole SSL | Case à cocher | Décochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur LogRhythm est valide. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
Jobs
Synchroniser les commentaires des demandes
Description
Ce job synchronise les commentaires dans les demandes LogRhythm et Google SecOps.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://{IP}:8501 | Oui | Racine de l'API de l'instance LogRhythm. |
| Jeton d'API | Mot de passe | N/A | Oui | Jeton d'API LogRhythm. |
| Fichier de certificat CA | Chaîne | N/A | Non | Fichier de certificat CA encodé en base64. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur LogRhythm est valide. |
Synchroniser les cas clôturés
Description
Ce job synchronise les demandes LogRhythm clôturées et les alertes Google SecOps.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://{IP}:8501 | Oui | Racine de l'API de l'instance LogRhythm. |
| Jeton d'API | Mot de passe | N/A | Oui | Jeton d'API LogRhythm. |
| Fichier de certificat CA | Chaîne | N/A | Non | Fichier de certificat CA encodé en base64. |
| Nombre maximal d'heures en arrière | Integer | 24 | Non | Spécifiez le nombre d'heures en arrière pour synchroniser les états. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur LogRhythm est valide. |
Synchroniser les commentaires d'alarme
Description
Cette tâche synchronise les commentaires dans les alarmes LogRhythm et les demandes Google SecOps.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://{IP}:8501 | Oui | Racine de l'API de l'instance LogRhythm. |
| Jeton d'API | Mot de passe | N/A | Oui | Jeton d'API LogRhythm. |
| Fichier de certificat CA | Chaîne | N/A | Non | Fichier de certificat CA encodé en base64. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur LogRhythm est valide. |
Synchroniser les alarmes fermées
Description
Cette tâche synchronise les alarmes LogRhythm fermées et les alertes Google SecOps.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://{IP}:8501 | Oui | Racine de l'API de l'instance LogRhythm. |
| Jeton d'API | Mot de passe | N/A | Oui | Jeton d'API LogRhythm. |
| Fichier de certificat CA | Chaîne | N/A | Non | Fichier de certificat CA encodé en base64. |
| Nombre maximal d'heures en arrière | Integer | 24 | Non | Spécifiez le nombre d'heures en arrière pour synchroniser les états. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur LogRhythm est valide. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.