LogRhythm
Versi integrasi: 17.0
Mulai dari versi 10 integrasi ini, tidak akan ada lagi Alarms Connector. Konektor ini tidak digunakan lagi, karena SOAP API tidak digunakan lagi dari sisi LogRhythm. Sekarang seluruh integrasi menggunakan REST API, yang diperkenalkan di Rilis LogRhythm 7.9.
Untuk mengetahui informasi selengkapnya, lihat SOAP API (LogRhythm 7.x.x).
Selain itu, integrasi diupdate ke Python versi 3, sehingga mempertahankan konektor ini (dari versi 9) dengan versi integrasi yang lebih baru (versi 10) tidak didukung dan menyebabkan perilaku yang tidak terduga.
Ikuti alur yang direkomendasikan untuk update ini:
Sebelum mengupdate integrasi ke versi 10, migrasikan setiap "LogRhythm Alarms Connector" ke "LogRhythm - Rest API Alarms Connector"' menggunakan integrasi versi 9.
Perbarui integrasi ke versi 10.
Mengonfigurasi integrasi LogRhythm di Google Security Operations
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Root API | String | https://{IP}:8501 | Ya | Root API instance LogRhythm. |
| Token API | Sandi | T/A | Tidak | Token API instance LogRhythm. |
| File Sertifikat CA | String | T/A | Tidak | File sertifikat CA yang dienkode Base 64. |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server LogRhythm valid. |
Tindakan
Ping
Deskripsi
Uji konektivitas ke LogRhythm dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.
Parameter
T/A
Kasus penggunaan
T/A
Run On
Tindakan ini tidak berjalan pada entity, dan tidak memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Berhasil terhubung ke server LogRhythm dengan parameter koneksi yang diberikan". Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil: "Gagal terhubung ke server LogRhythm. Error adalah {0}".format(exception.stacktrace) |
Umum |
Memperkaya Entitas
Deskripsi
Memperkaya entitas menggunakan informasi dari LogRhythm. Entitas yang didukung: Nama Host, Alamat IP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Buat Insight | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan ini akan membuat insight yang berisi semua informasi yang diambil tentang entity. |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
{
"id": 2,
"entity": {
"id": 2,
"name": "EchoTestEntity"
},
"name": "EchoTestHost",
"shortDesc": "LogRhythm ECHO",
"riskLevel": "None",
"threatLevel": "None",
"threatLevelComments": "",
"recordStatusName": "Active",
"hostZone": "Internal",
"location": {
"id": -1
},
"os": "Windows",
"osVersion": "Microsoft Windows NT 6.2.9200.0",
"useEventlogCredentials": false,
"osType": "Server",
"dateUpdated": "2021-04-14T09:18:17.677Z",
"hostRoles": [],
"hostIdentifiers": [
{
"type": "IPAddress",
"value": "10.1.2.50",
"dateAssigned": "2021-04-14T09:17:31Z"
},
{
"type": "WindowsName",
"value": "EchoTestHost",
"dateAssigned": "2021-04-14T09:17:31Z"
}
]
}
Pengayaan Entity
| Nama Kolom Pengayaan | Logika - Kapan harus menerapkan |
|---|---|
| deskripsi | Jika tersedia dalam JSON |
| risk_level | Jika tersedia dalam JSON |
| threat_level | Jika tersedia dalam JSON |
| status | Jika tersedia dalam JSON |
| host_zone | Jika tersedia dalam JSON |
| os | Jika tersedia dalam JSON |
| jenis | Jika tersedia dalam JSON |
| ips | Jika tersedia dalam JSON |
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: If data is available for one entity (is_success=true): "Successfully enriched the following entities using information from LogRhythm: {entity.identifier}". Jika data tidak tersedia untuk satu entitas (is_success=true): "Tindakan tidak dapat memperkaya entitas berikut menggunakan informasi dari LogRhythm: {entity.identifier}". Jika data tidak tersedia untuk semua entitas (is_success=false): "Tidak ada entitas yang disediakan yang diperkaya." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perkaya Entitas". Alasan: {0}''.format(error.Stacktrace) |
Umum |
| Tabel Repositori Kasus | Judul Tabel: {entity.identifier} | Entity |
Perbarui Alarm
Deskripsi
Perbarui alarm di LogRhythm.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID Alarm | String | T/A | Ya | Tentukan ID alarm yang perlu diperbarui di LogRhythm. |
| Status | DDL | Pilih Satu Nilai yang Mungkin:
|
Tidak | Tentukan status untuk alarm. |
| Skor Risiko | Bilangan bulat | T/A | Tidak | Tentukan skor risiko baru untuk alarm. Maksimum: 100 |
Dijalankan pada
Tindakan ini berjalan di entity berikut:
- URL
- Alamat IP
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 200 dilaporkan (is_success=true): "Successfully updated alarm with ID {ID} in LogRhythm." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perbarui Alarm". Alasan: {0}''.format(error.Stacktrace) Jika kode status bukan 200: "Error saat menjalankan tindakan "Update Alarm". Alasan: {0}''.format(responseMessage)" Jika parameter "Status" disetel ke "Pilih Salah Satu" dan tidak ada nilai lain yang diberikan:"Error saat menjalankan tindakan "Perbarui Alarm". Alasan: setidaknya salah satu parameter tindakan harus memiliki nilai yang diberikan." |
Umum |
Mendapatkan Detail Alarm
Deskripsi
Mendapatkan detail alarm di LogRhythm. Tindakan ini memungkinkan Anda mendapatkan detail dari peristiwa LogRhythm Advanced Intelligence Engine (AIE) dan menyerap data ini ke Google SecOps.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID Alarm | CSV | T/A | Ya | Tentukan daftar ID alarm yang dipisahkan koma yang detailnya perlu kita ambil. |
| Jumlah Maksimum Peristiwa yang Akan Diambil | Bilangan bulat | 50 | Tidak | Tentukan jumlah acara yang akan ditampilkan. |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
[
{
"alarmRuleID": 98,
"alarmId": 18755,
"personId": -100,
"alarmDate": "2021-08-17T13:36:39.78",
"alarmStatus": 0,
"alarmStatusName": "New",
"entityId": 2,
"entityName": "EchoTestEntity",
"alarmRuleName": "LogRhythm Agent Heartbeat Missed",
"lastUpdatedID": -100,
"lastUpdatedName": "LogRhythm Administrator",
"dateInserted": "2021-08-17T13:36:39.807",
"dateUpdated": "2021-08-17T13:36:39.86",
"associatedCases": [],
"lastPersonID": null,
"eventCount": 1,
"eventDateFirst": "2021-08-17T13:36:37.057",
"eventDateLast": "2021-08-17T13:36:37.057",
"rbpMax": 39,
"rbpAvg": 39,
"smartResponseActions": null,
"alarmDataCached": "N",
"alarmEventsDetails": [
{
"account": "admin5",
"action": "",
"amount": null,
"bytesIn": null,
"bytesOut": null,
"classificationId": 2600,
"classificationName": "Compromise",
"classificationTypeName": "Security",
"command": "",
"commonEventId": 1031412,
"cve": "",
"commonEventName": "AIE: CSC: Disabled Account Auth Success",
"count": 1,
"directionId": 0,
"directionName": "Unknown",
"domain": "",
"duration": 0,
"entityId": -1000001,
"entityName": "",
"group": "",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHostId": -1,
"impactedHostName": "",
"impactedInterface": "",
"impactedIP": null,
"impactedLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"impactedMAC": "",
"impactedName": "",
"impactedNATIP": "",
"impactedNATPort": null,
"impactedNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"impactedPort": -1,
"impactedZone": "Unknown",
"itemsPacketsIn": 0,
"itemsPacketsOut": 0,
"logDate": "2021-08-16T09:51:16.993",
"login": "admin5",
"logMessage": "",
"logSourceHostId": -1000001,
"logSourceHostName": "AI Engine Server",
"logSourceName": "AI Engine",
"logSourceTypeName": "LogRhythm AI Engine",
"messageId": 173885,
"mpeRuleId": -1,
"mpeRuleName": "",
"normalDateMax": "0001-01-01T00:00:00",
"objectName": "",
"objectType": "",
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHostName": "",
"originInterface": "",
"originIP": null,
"originLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"originMAC": "",
"originName": "",
"originNATIP": "",
"originNATPort": null,
"originNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"originPort": -1,
"originZone": "Unknown",
"parentProcessId": "",
"parentProcessName": "",
"parentProcessPath": "",
"policy": "",
"priority": 91,
"process": "",
"processId": -1,
"protocolId": -1,
"protocolName": "",
"quantity": 0,
"rate": 0,
"reason": "",
"recipient": "",
"result": "",
"responseCode": "",
"sender": "",
"session": "",
"recipientIdentityId": null,
"recipientIdentityName": ""
}
]
}
]
Pengayaan Entity
T/A
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 200 untuk satu entitas dilaporkan (is_success=true): "Successfully retrieved details for the following alarms in LogRhythm: {IDs}" (Berhasil mengambil detail untuk alarm berikut di LogRhythm: {IDs}) Jika tidak ditemukan satu alarm (is_success=true):"Alarm berikut tidak ditemukan di LogRhythm: {IDs}" Jika tidak ditemukan semua alarm (is_success=false): "None of the provided alarms were found in LogRhythm." (Tidak ada alarm yang diberikan yang ditemukan di LogRhythm.) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya: "Error saat menjalankan tindakan "Get Alarm Details". Alasan: {0}''.format(error.Stacktrace) |
Umum |
| Tabel Repositori Kasus | Nama Tabel: Peristiwa Alarm {ID} Kolom Tabel:
|
Umum |
Menambahkan Komentar ke Alarm
Deskripsi
Tambahkan komentar ke alarm di LogRhythm.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID Alarm | String | T/A | Ya | Tentukan ID alarm yang perlu Anda tambahkan komentar di LogRhythm. |
| Komentar | String | T/A | Ya | Tentukan komentar yang perlu ditambahkan ke alarm. |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 200 dilaporkan (is_success=true): "Successfully added comment to the alarm with ID {ID} in LogRhythm." (Berhasil menambahkan komentar ke alarm dengan ID {ID} di LogRhythm.) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika terjadi error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya: "Error saat menjalankan tindakan "Tambahkan Komentar ke Alarm". Alasan: {0}''.format(error.Stacktrace) Jika kode statusnya bukan 200: "Error executing action "Add Comment To Alarm". Alasan: {0}''.format(responseMessage) |
Umum |
Mencantumkan Bukti Kasus
Deskripsi
Mencantumkan bukti kasus di LogRhythm.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID kasus | String | T/A | Ya | Tentukan ID kasus yang ingin Anda tampilkan daftar buktinya. |
| Filter Status | CSV | T/A | Tidak | Tentukan daftar filter status yang dipisahkan koma untuk bukti. Nilai yang mungkin: tertunda, selesai, gagal. Jika tidak ada yang diberikan, tindakan akan menampilkan bukti dari semua status. |
| Filter Jenis | CSV | T/A | Tidak | Tentukan daftar filter jenis yang dipisahkan koma untuk bukti. Nilai yang mungkin: alarm, userEvents, log, note, file. Jika tidak ada yang diberikan, tindakan akan menampilkan bukti dari semua jenis. |
| Jumlah Maksimum Bukti yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah bukti yang akan ditampilkan. |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
[
{
"number": 4,
"dateCreated": "2021-07-31T11:00:40.2433333Z",
"dateUpdated": "2021-07-31T11:00:40.2433333Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "test",
"pinned": false,
"datePinned": null,
"file": {
"name": "UploadCustomListTemplate .csv",
"size": 161
}
}
]
Pengayaan Entity
T/A
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 200 dilaporkan (is_success=true): "Berhasil mencantumkan bukti yang terkait dengan kasus dengan ID {ID} di LogRhythm." Jika tidak ada bukti yang tersedia (is_success=false): "Tidak ada bukti yang ditemukan untuk kasus dengan ID {ID} di LogRhythm." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "List Case Evidence". Alasan: {0}''.format(error.Stacktrace) Jika kode status 404 dilaporkan: "Error saat menjalankan tindakan "List Case Evidence". Alasan: {0}''.format(message) Jika nilai yang tidak valid diberikan untuk parameter "Status": "Error saat menjalankan tindakan "List Case Evidence". Alasan: nilai tidak valid yang diberikan dalam parameter "Filter Status": {invalid value}. Nilai yang mungkin: tertunda, selesai, gagal. Jika nilai yang tidak valid diberikan untuk parameter "Type": "Error saat menjalankan tindakan "List Case Evidence". Alasan: nilai tidak valid yang diberikan dalam parameter "Type": {invalid value}. Nilai yang mungkin: alarm, userEvents, log, note, file. |
Umum |
| Repositori Kasus | Bukti Kasus {case id} Jenis Status Konteks |
Menambahkan Alarm ke Kasus
Deskripsi
Tambahkan alarm ke kasus di LogRhythm.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID kasus | String | T/A | Ya | Tentukan ID kasus yang ingin Anda tambahkan alarmnya. |
| ID Alarm | CSV | T/A | Ya | Tentukan daftar alarm yang dipisahkan koma yang perlu ditambahkan ke kasus. |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
[
{
"number": 23,
"dateCreated": "2021-08-11T09:02:17.0066667Z",
"dateUpdated": "2021-08-11T09:02:17.0066667Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15298,
"alarmDate": "2021-07-30T02:07:29.813+03:00",
"alarmRuleId": 1000,
"alarmRuleName": "AIE: ISO-27001: File Monitoring Event-File Changes",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": -100,
"entityName": "Global Entity",
"riskBasedPriorityMax": 1
}
},
{
"number": 24,
"dateCreated": "2021-08-11T09:03:18.65Z",
"dateUpdated": "2021-08-11T09:03:18.65Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15297,
"alarmDate": "2021-07-30T02:07:28.353+03:00",
"alarmRuleId": 1419,
"alarmRuleName": "AIE: CCF: FIM General Activity",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": 1,
"entityName": "Primary Site",
"riskBasedPriorityMax": 0
}
}
]
Pengayaan Entity
T/A
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 201 dilaporkan (is_success=true): "Berhasil menambahkan bukti alarm yang terkait dengan kasus dengan ID {ID} di LogRhythm." Jika kode status 200 dilaporkan (is_success=true): "Semua bukti alarm yang diberikan sudah menjadi bagian dari kasus dengan ID {ID} di LogRhythm." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Tambahkan Alarm ke Kasus". Alasan: {0}''.format(error.Stacktrace) Jika kode status 404 dilaporkan: "Error saat menjalankan tindakan "Tambahkan Alarm ke Kasus". Alasan: {0}''.format(message atau detail) |
Umum |
Melampirkan File ke Kasus
Deskripsi
Lampirkan file ke kasus di LogRhythm.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID kasus | String | T/A | Ya | Tentukan ID kasus yang ingin Anda lampiri file. |
| Jalur File | CSV | T/A | Ya | Tentukan daftar jalur file absolut yang dipisahkan koma. |
| Catatan | String | T/A | Tidak | Tentukan catatan yang harus ditambahkan ke kasus bersama dengan file. |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
[
{
"number": 26,
"dateCreated": "2021-08-11T09:17:33.91Z",
"dateUpdated": "2021-08-11T09:17:33.91Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"file": {
"name": "Get Deep Visibility Query Result_JsonResultSample.json",
"size": 4979
}
}
]
Pengayaan Entity
T/A
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika selesai untuk satu file path (is_success=true): "Successfully added the following files to the case with ID {ID} in LogRhythm." (Berhasil menambahkan file berikut ke kasus dengan ID {ID} di LogRhythm.) Jika gagal untuk satu jalur file (is_success= true): "Tindakan tidak dapat menambahkan file berikut ke kasus dengan ID {ID} di LogRhythm: {jalur file yang gagal}". Jika gagal untuk semua jalur file (is_success=false): "Tidak ada file yang ditambahkan ke kasus dengan ID {ID} di LogRhythm." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Lampirkan File ke Kasus". Alasan: {0}''.format(error.Stacktrace) Jika kode status 404 dilaporkan: "Error saat menjalankan tindakan "Lampirkan File ke Kasus". Alasan: {0}''.format(message) Jika mengalami waktu tunggu habis: "Error saat menjalankan tindakan "Lampirkan File ke Kasus". Alasan: tindakan mengalami waktu tunggu habis. File berikut masih diproses: {pending files}. Harap tingkatkan waktu tunggu di IDE. Catatan: menambahkan file yang sama akan membuat entri terpisah di LogRhythm. |
Umum |
Menambahkan Catatan ke Kasus
Deskripsi
Tambahkan catatan ke kasus di LogRhythm.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID kasus | String | T/A | Ya | Tentukan ID kasus yang ingin Anda tambahi catatan. |
| Catatan | String | T/A | Ya | Tentukan catatan yang harus ditambahkan ke kasus. |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
{
"number": 29,
"dateCreated": "2021-08-11T12:21:11.5547306Z",
"dateUpdated": "2021-08-11T12:21:11.5547306Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "note",
"status": "completed",
"statusMessage": null,
"text": "asdasd",
"pinned": false,
"datePinned": null
}
Pengayaan Entity
T/A
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 201 dilaporkan (is_success=true): "Berhasil menambahkan catatan ke kasus dengan ID {ID} di LogRhythm." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Tambahkan Catatan ke Kasus". Alasan: {0}''.format(error.Stacktrace) Jika kode status 404 dilaporkan: "Error saat menjalankan tindakan "Tambahkan Catatan ke Kasus". Alasan: {0}''.format(message) |
Umum |
Buat Kasus
Deskripsi
Buat kasus di LogRhythm.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Nama | String | T/A | Ya | Tentukan nama untuk kasus tersebut. |
| Prioritas | DDL | 1 Nilai yang Mungkin:
|
Ya | Tentukan prioritas kasus. |
| Batas Waktu | String | T/A | Tidak | Tentukan batas waktu untuk kasus ini. Format: ISO 8601 Contoh: 2021-04-23T12:38Z |
| Deskripsi | String | T/A | Tidak | Tentukan deskripsi untuk kasus ini. |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:37:42.8942168Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
Pengayaan Entity
T/A
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 201 dilaporkan (is_success=true): "Successfully created case {number} in LogRhythm." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Buat Kasus". Alasan: {0}''.format(error.Stacktrace) Jika kode status 404 dilaporkan: "Error saat menjalankan tindakan "Buat Kasus". Alasan: {0}''.format(message) |
Umum |
Memperbarui Kasus
Deskripsi
Perbarui kasus di LogRhythm.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID kasus | String | T/A | Ya | Tentukan ID kasus yang perlu diperbarui. |
| Nama | String | T/A | Tidak | Tentukan nama baru untuk kasus. |
| Prioritas | DDL | Pilih Satu Nilai yang Mungkin:
|
Tidak | Tentukan prioritas baru untuk kasus tersebut. |
| Batas Waktu | String | T/A | Tidak | Tentukan batas waktu baru untuk kasus ini. Format: ISO 8601 Contoh: 2021-04-23T12:38Z |
| Deskripsi | String | T/A | Tidak | Tentukan deskripsi baru untuk kasus. |
| Resolusi | String | T/A | Tidak | Tentukan cara kasus diselesaikan. |
| Status | DDL | Pilih Satu Nilai yang Mungkin:
|
Tidak | Tentukan status baru untuk kasus tersebut. |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:48:52.9765558Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
Pengayaan Entity
T/A
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 201 dilaporkan (is_success=true): "Successfully updated case {ID} in LogRhythm." (Kasus {ID} berhasil diperbarui di LogRhythm.) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perbarui Kasus". Alasan: {0}''.format(error.Stacktrace)" Jika kode status 404 dilaporkan: "Error saat menjalankan tindakan "Perbarui Kasus". Alasan: {0}''.format(message) Jika kode statusnya 400: "Error saat menjalankan tindakan "Update Case". Alasan: {0}''.format(validationErrors)" Jika parameter "Status" atau "Prioritas" ditetapkan ke "Pilih Salah Satu" dan tidak ada nilai lain yang diberikan: "Error executing action "Update Case". Alasan: setidaknya salah satu parameter tindakan harus memiliki nilai yang diberikan." |
Umum |
Mendownload File Kasus
Deskripsi
Download file yang terkait dengan kasus di LogRhythm.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| ID kasus | String | T/A | Ya | Tentukan ID kasus yang filenya ingin Anda download. |
| Jalur Folder Download | String | T/A | Ya | Tentukan jalur ke folder tempat Anda ingin menyimpan file kasus. |
| Timpa | Bool | Salah | Ya | Jika diaktifkan, tindakan ini akan menimpa file dengan nama yang sama. |
Dijalankan pada
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
{"absolute_file_paths": ["file_path_1","file_path_2"]}
``` ##### Entity
Enrichment
N/A
##### Insights
N/A
##### Case Wall
<table>
<thead>
<tr>
<th><strong>Result type</strong></th>
<th><strong>Value/Description</strong></th>
<th><strong>Type</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Output message*</td>
<td><p><strong>The action should not fail nor stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If the</em> <strong></strong> <em>200 status code for all cases is reported (is_success=true):</em> "Successfully downloaded files related to case with ID {ID} in LogRhythm."</p><p></p><p><em>If no files are found (is_success=true): "</em>No related files were found for the case with ID {ID} in LogRhythm."</p><p></p><p><strong>The action should fail and stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If a</em> <strong></strong> <em>fatal error, like wrong credentials, no connection to the server, other is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(error.Stacktrace)"</p><p></p><p><em>If the 404 status code is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(message)"</p><p></p><p><em>If a file with the same name already exists, but "Overwrite" is set to false:</em> "Error executing action "Download Case Files". Reason: files with path {0} already exist. Please delete the files or set "Overwrite" to true."</p></td>
<td>General</td>
</tr>
</tbody>
</table>
### List Entity Events
#### Description
List events related to entities in LogRhythm. Supported entities: Hostname, IP
Address, User, CVE, Hash, URL.
Note: This action runs as async. Adjust the script timeout value in the
Google SecOps IDE for the action as needed.
#### Parameters
<table>
<thead>
<tr>
<th><strong>Parameter Display Name</strong></th>
<th><strong>Type</strong></th>
<th><strong>Default Value</strong></th>
<th><strong>Is Mandatory</strong></th>
<th><strong>Description</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Time Frame</td>
<td>DDL</td>
<td><p>Last Hour</p><p><strong></strong></p><p>Possible Values: </p><ul><li>Last Hour</li><li>Last 6 Hours</li><li>Last 24 Hours</li><li>Last Week</li><li>Last Month</li><li>Custom</li></ul></td>
<td>No</td>
<td>Name of the watchlist from which you want to remove values.</td>
</tr>
<tr>
<td>Start Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the start time for the results.</p><p></p><p>This parameter is mandatory, if "Custom" is selected for the "Time Frame" parameter. </p><p></p><p>Format: ISO 8601</p><p></p><p>Example: 2021-04-23T12:38Z</p></td>
</tr>
<tr>
<td>End Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the end time for the results. </p><p></p><p>If nothing is provided and "Custom" is selected for the "Time Frame" parameter then this parameter uses current time.</p><p></p><p>Format: ISO 8601</p></td>
</tr>
<tr>
<td>Sort Order</td>
<td>DDL</td>
<td><p>Datetime ASC <strong></strong> </p><p></p><p>Possible values:</p><ul><li>Datetime ASC</li><li>Datetime DESC</li><li>Risk ASC</li><li>RiskDESC</li></ul></td>
<td>No</td>
<td>Specify the sorting logic for the query.</td>
</tr>
<tr>
<td>Max Events To Return</td>
<td>Integer</td>
<td>50</td>
<td>No</td>
<td>Specify the number of events to return.</td>
</tr>
</tbody>
</table>
#### Run On
This action runs on the following entities:
* Hostname
* IP Address
* User
* CVE
* Hash
* URL
#### Action Results
##### Script Result
<table>
<thead>
<tr>
<th><strong>Script Result Name</strong></th>
<th><strong>Value Options</strong></th>
<th><strong>Example</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>is_success</td>
<td>True/False</td>
<td>is_success:False</td>
</tr>
</tbody>
</table>
##### JSON Result
```json
{
"kBytes": 2521.025390625,
"kBytesIn": 2500.0,
"kBytesOut": 21.025390625,
"outboundKBytes": 21.025390625,
"impactedHostTotalKBytes": 2521.025390625,
"keyField": "messageId",
"count": 1,
"classificationId": 3200,
"classificationName": "Error",
"classificationTypeName": "Operations",
"commonEventName": "HTTP 504 : Server Error - Gateway Time-Out",
"commonEventId": 8938,
"direction": 3,
"directionName": "External",
"entityId": 2,
"entityName": "EchoTestEntity",
"rootEntityId": 2,
"rootEntityName": "EchoTestEntity",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHost": "192.0.2.11",
"impactedInterface": "0",
"impactedIp": "192.0.2.11",
"impactedPort": 80,
"impactedZoneName": "External",
"indexedDate": 1629460029041,
"insertedDate": 1629123439811,
"logDate": 1629134239789,
"logMessage": "CISCONGFW EVENT Ev_Id=436 Ev",
"logSourceHost": "EchoTestHost",
"logSourceHostId": 2,
"logSourceHostName": "EchoTestHost",
"logSourceId": 15,
"logSourceName": "Echo_2_1000107",
"logSourceType": 1000107,
"logSourceTypeName": "Flat File - Cisco NGFW",
"messageId": "23066",
"messageTypeEnum": 2,
"mpeRuleId": 1176829,
"mpeRuleName": "HTTP 504 : Server Error : Gateway Timeout",
"normalDate": 1629123439791,
"normalDateMin": 1629123439791,
"normalMsgDateMax": 1629123439791,
"normalDateHour": 1629122400000,
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHost": "192.0.2.12",
"originInterface": "0",
"originIp": "192.0.2.12",
"originPort": 14042,
"originZone": 3,
"originZoneName": "External",
"priority": 38,
"process": "5",
"processId": 300003,
"protocolId": 6,
"protocolName": "TCP",
"serviceId": 1388,
"serviceName": "HTTP",
"portProtocol": "HTTP",
"session": "436",
"severity": "57",
"url": "http://www.google.com/",
"vendorMessageId": "504",
"version": "2",
"status": "504"
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika data ditemukan untuk satu entitas (is_success=true): "Successfully retrieved events for the following entities in LogRhythm: {entity.identifier}." (Berhasil mengambil peristiwa untuk entitas berikut di LogRhythm: {entity.identifier}.) Jika gagal untuk satu entitas (is_success=true): "Tindakan tidak dapat mengambil peristiwa untuk entitas berikut di LogRhythm: {entity.identifier}." Jika gagal untuk semua entitas (is_success=false): "Tindakan tidak dapat mengambil peristiwa untuk entitas yang diberikan di LogRhythm." Jika tidak ada data untuk setidaknya satu entitas (is_success=true): "Tidak ada peristiwa yang ditemukan untuk entitas berikut di LogRhythm: {entity.identifier}." Jika tidak ada data untuk semua entitas (is_success=false): "Tidak ada peristiwa yang ditemukan untuk entitas yang diberikan di LogRhythm." Jika mengalami waktu tunggu habis untuk satu entity (is_success=true): "Tindakan mengalami waktu tunggu habis selama eksekusi. Entitas tertunda: {entitas yang tidak menampilkan data}. Harap tingkatkan waktu tunggu tindakan di IDE." Pesan Asinkron: "Menunggu informasi acara untuk entitas berikut: {entity.identifier}" Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "List Entity Events". Alasan: {0}''.format(error.Stacktrace)" Jika mengalami waktu tunggu habis untuk semua entitas (is_success=false): "Error saat menjalankan tindakan "List Entity Events". Alasan: Tindakan mengalami waktu tunggu habis selama eksekusi. Tidak ada informasi tentang peristiwa yang diambil untuk entitas yang diberikan. Harap tingkatkan waktu tunggu tindakan di IDE." Jika parameter "Waktu Mulai" kosong, saat parameter "Rentang Waktu" disetel ke "Kustom" (gagal): "Error saat menjalankan tindakan "". Alasan: "Waktu Mulai" harus diberikan, saat "Kustom" dipilih di parameter "Rentang Waktu"." Jika parameter "Waktu Mulai" memiliki nilai yang lebih besar daripada parameter "Waktu Berakhir" (gagal): "Error saat menjalankan tindakan "". Alasan: "Waktu Berakhir" harus lebih lambat daripada "Waktu Mulai". Jika jumlah maksimum item yang ditampilkan tidak lebih besar dari 0: "Error saat menjalankan tindakan "". Alasan: "Jumlah Maksimum Acara yang Ditampilkan" harus lebih besar dari 0. |
Umum |
| Tabel Repositori Kasus | Nama Tabel: {entity.identifier} Kolom Tabel:
Catatan: Kolom ini akan terlihat jika ada setidaknya satu data dengan nilai. |
Entity |
Konektor
Konektor Kasus LogRhythm
Deskripsi
Menarik kasus dari LogRhythm.
Parameter Konektor
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Diisi | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | T/A | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | event_type | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
| Nama Kolom Lingkungan | String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
| Pola Regex Lingkungan | String | .* | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | https://{IP}:8501 | Ya | Root API instance LogRhythm. |
| Token API | Sandi | T/A | Ya | Token LogRhythm API. |
| Maksimum Hari Mundur | Bilangan bulat | 1 | Ya | Jumlah hari untuk mengambil kasus. |
| Prioritas Terendah yang Akan Diambil | Bilangan bulat | T/A | Tidak | Prioritas terendah yang perlu digunakan untuk mengambil kasus. Jika tidak ada yang diberikan, kasus dengan semua prioritas akan diproses. Nilai yang mungkin: dari 1 hingga 5. |
| Batas Jumlah Pemberitahuan | Bilangan bulat | 10 | Ya | Jumlah kasus yang akan diproses per satu iterasi konektor. |
| File Sertifikat CA | String | T/A | Tidak | File sertifikat CA yang dienkode Base 64. |
| Menggunakan daftar yang diizinkan sebagai daftar blokir | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, daftar yang diizinkan digunakan sebagai daftar yang diblokir. |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server LogRhythm valid. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
Aturan Konektor
Dukungan Proxy
Konektor mendukung Proxy.
LogRhythm - Rest API Alarms Connector
Deskripsi
Tarik alarm dari LogRhythm menggunakan Rest API.
Mengonfigurasi Konektor Alarm Rest API LogRhythm di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | Nama Produk | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | classificationTypeName | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
| Nama Kolom Lingkungan | String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
| Pola Regex Lingkungan | String | .* | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | https://{IP}:8501 | Ya | Root API instance LogRhythm. |
| Token API | Sandi | T/A | Ya | Token LogRhythm API. |
| Maks. Jam Mundur | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat untuk mengambil pemberitahuan. |
| Jumlah Maksimum Alarm yang Akan Diambil | Bilangan bulat | 10 | Tidak | Jumlah pemberitahuan yang akan diproses per satu iterasi konektor. |
| Menggunakan daftar yang diizinkan sebagai daftar blokir | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, daftar yang diizinkan digunakan sebagai daftar yang diblokir. |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server LogRhythm valid. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
Aturan Konektor
Dukungan Proxy
Konektor mendukung Proxy.
Pekerjaan
Menyinkronkan Komentar Kasus
Deskripsi
Tugas ini menyinkronkan komentar dalam kasus LogRhythm dan kasus Google SecOps.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Root API | String | https://{IP}:8501 | Ya | Root API instance LogRhythm. |
| Token API | Sandi | T/A | Ya | Token LogRhythm API. |
| File Sertifikat CA | String | T/A | Tidak | File sertifikat CA yang dienkode Base 64. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server LogRhythm valid. |
Menyinkronkan Kasus Tertutup
Deskripsi
Tugas ini menyinkronkan kasus LogRhythm yang ditutup dan pemberitahuan Google SecOps.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Root API | String | https://{IP}:8501 | Ya | Root API instance LogRhythm. |
| Token API | Sandi | T/A | Ya | Token LogRhythm API. |
| File Sertifikat CA | String | T/A | Tidak | File sertifikat CA yang dienkode Base 64. |
| Maks. Jam Mundur | Bilangan bulat | 24 | Tidak | Tentukan jumlah jam ke belakang untuk menyinkronkan status. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server LogRhythm valid. |
Menyinkronkan Komentar Alarm
Deskripsi
Tugas ini menyinkronkan komentar dalam kasus Google SecOps dan alarm LogRhythm.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Root API | String | https://{IP}:8501 | Ya | Root API instance LogRhythm. |
| Token API | Sandi | T/A | Ya | Token LogRhythm API. |
| File Sertifikat CA | String | T/A | Tidak | File sertifikat CA yang dienkode Base 64. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server LogRhythm valid. |
Menyinkronkan Alarm yang Ditutup
Deskripsi
Tugas ini menyinkronkan alarm LogRhythm yang ditutup dan pemberitahuan Google SecOps.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Root API | String | https://{IP}:8501 | Ya | Root API instance LogRhythm. |
| Token API | Sandi | T/A | Ya | Token LogRhythm API. |
| File Sertifikat CA | String | T/A | Tidak | File sertifikat CA yang dienkode Base 64. |
| Maks. Jam Mundur | Bilangan bulat | 24 | Tidak | Tentukan jumlah jam ke belakang untuk menyinkronkan status. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server LogRhythm valid. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.