LogRhythm
Versione integrazione: 17.0
A partire dalla versione 10 di questa integrazione, non sarà più presente un connettore per gli allarmi. Questo connettore è obsoleto, poiché l'API SOAP è obsoleta dal lato LogRhythm. Ora l'intera integrazione utilizza l'API REST, introdotta nella release 7.9 di LogRhythm.
Per ulteriori informazioni, consulta API SOAP (LogRhythm 7.x.x).
Inoltre, l'integrazione viene aggiornata alla versione 3 di Python, pertanto il mantenimento di questo connettore (dalla versione 9) con la versione più recente dell'integrazione (versione 10) non è supportato e causa comportamenti imprevisti.
Segui il flusso consigliato per questo aggiornamento:
Prima di aggiornare l'integrazione alla versione 10, esegui la migrazione di ogni "LogRhythm Alarms Connector" a "LogRhythm - Rest API Alarms Connector" utilizzando la versione 9 dell'integrazione.
Aggiorna l'integrazione alla versione 10.
Configura l'integrazione di LogRhythm in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | https://{IP}:8501 | Sì | Radice dell'API dell'istanza LogRhythm. |
| Token API | Password | N/D | No | Token API dell'istanza LogRhythm. |
| File del certificato CA | Stringa | N/D | No | File del certificato CA con codifica Base64. |
| Verifica SSL | Casella di controllo | Deselezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server LogRhythm sia valido. |
Azioni
Dindin
Descrizione
Verifica la connettività a LogRhythm con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: "Connessione al server LogRhythm riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: In caso di esito negativo: "Impossibile connettersi al server LogRhythm. Error is {0}".format(exception.stacktrace) |
Generale |
Arricchisci entità
Descrizione
Arricchisci le entità utilizzando le informazioni di LogRhythm. Entità supportate: nome host, indirizzo IP.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Crea approfondimento | Casella di controllo | Selezionata | No | Se attivata, l'azione crea un approfondimento contenente tutte le informazioni recuperate sull'entità. |
Pubblica su
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"id": 2,
"entity": {
"id": 2,
"name": "EchoTestEntity"
},
"name": "EchoTestHost",
"shortDesc": "LogRhythm ECHO",
"riskLevel": "None",
"threatLevel": "None",
"threatLevelComments": "",
"recordStatusName": "Active",
"hostZone": "Internal",
"location": {
"id": -1
},
"os": "Windows",
"osVersion": "Microsoft Windows NT 6.2.9200.0",
"useEventlogCredentials": false,
"osType": "Server",
"dateUpdated": "2021-04-14T09:18:17.677Z",
"hostRoles": [],
"hostIdentifiers": [
{
"type": "IPAddress",
"value": "10.1.2.50",
"dateAssigned": "2021-04-14T09:17:31Z"
},
{
"type": "WindowsName",
"value": "EchoTestHost",
"dateAssigned": "2021-04-14T09:17:31Z"
}
]
}
Arricchimento delle entità
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| descrizione | Quando disponibile in formato JSON |
| risk_level | Quando disponibile in formato JSON |
| threat_level | Quando disponibile in formato JSON |
| stato | Quando disponibile in formato JSON |
| host_zone | Quando disponibile in formato JSON |
| os | Quando disponibile in formato JSON |
| tipo | Quando disponibile in formato JSON |
| ips | Quando disponibile in formato JSON |
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: If data is available for one entity (is_success=true): "Successfully enriched the following entities using information from LogRhythm: {entity.identifier}". Se i dati non sono disponibili per un'entità (is_success=true): "L'azione non è riuscita ad arricchire le seguenti entità utilizzando le informazioni di LogRhythm: {entity.identifier}". Se i dati non sono disponibili per tutte le entità (is_success=false): "Nessuna delle entità fornite è stata arricchita." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella Bacheca casi | Titolo della tabella: {entity.identifier} | Entità |
Aggiorna sveglia
Descrizione
Aggiorna un allarme in LogRhythm.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID allarme | Stringa | N/D | Sì | Specifica l'ID dell'allarme da aggiornare in LogRhythm. |
| Stato | DDL | Selezionane uno Valori possibili:
|
No | Specifica lo stato della sveglia. |
| Punteggio di rischio | Numero intero | N/D | No | Specifica un nuovo punteggio di rischio per l'allarme. Massimo: 100 |
Pubblica su
Questa azione viene eseguita sulle seguenti entità:
- URL
- Indirizzo IP
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 200 (is_success=true): "Successfully updated alarm with ID {ID} in LogRhythm." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiorna allarme". Motivo: {0}''.format(error.Stacktrace) Se il codice di stato non è 200: "Errore durante l'esecuzione dell'azione "Aggiorna sveglia". Motivo: {0}''.format(responseMessage)" Se il parametro "Stato" è impostato su "Seleziona uno" e non viene fornito nessun altro valore: "Errore durante l'esecuzione dell'azione "Aggiorna sveglia". Motivo: almeno uno dei parametri dell'azione deve avere un valore fornito." |
Generale |
Visualizzare i dettagli della sveglia
Descrizione
Visualizza i dettagli dell'allarme in LogRhythm. Questa azione ti consente di ottenere i dettagli degli eventi di LogRhythm Advanced Intelligence Engine (AIE) e di importare questi dati in Google SecOps.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID allarme | CSV | N/D | Sì | Specifica un elenco separato da virgole di ID allarme per i quali dobbiamo recuperare i dettagli. |
| Numero massimo di eventi da recuperare | Numero intero | 50 | No | Specifica il numero di eventi da restituire. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
[
{
"alarmRuleID": 98,
"alarmId": 18755,
"personId": -100,
"alarmDate": "2021-08-17T13:36:39.78",
"alarmStatus": 0,
"alarmStatusName": "New",
"entityId": 2,
"entityName": "EchoTestEntity",
"alarmRuleName": "LogRhythm Agent Heartbeat Missed",
"lastUpdatedID": -100,
"lastUpdatedName": "LogRhythm Administrator",
"dateInserted": "2021-08-17T13:36:39.807",
"dateUpdated": "2021-08-17T13:36:39.86",
"associatedCases": [],
"lastPersonID": null,
"eventCount": 1,
"eventDateFirst": "2021-08-17T13:36:37.057",
"eventDateLast": "2021-08-17T13:36:37.057",
"rbpMax": 39,
"rbpAvg": 39,
"smartResponseActions": null,
"alarmDataCached": "N",
"alarmEventsDetails": [
{
"account": "admin5",
"action": "",
"amount": null,
"bytesIn": null,
"bytesOut": null,
"classificationId": 2600,
"classificationName": "Compromise",
"classificationTypeName": "Security",
"command": "",
"commonEventId": 1031412,
"cve": "",
"commonEventName": "AIE: CSC: Disabled Account Auth Success",
"count": 1,
"directionId": 0,
"directionName": "Unknown",
"domain": "",
"duration": 0,
"entityId": -1000001,
"entityName": "",
"group": "",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHostId": -1,
"impactedHostName": "",
"impactedInterface": "",
"impactedIP": null,
"impactedLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"impactedMAC": "",
"impactedName": "",
"impactedNATIP": "",
"impactedNATPort": null,
"impactedNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"impactedPort": -1,
"impactedZone": "Unknown",
"itemsPacketsIn": 0,
"itemsPacketsOut": 0,
"logDate": "2021-08-16T09:51:16.993",
"login": "admin5",
"logMessage": "",
"logSourceHostId": -1000001,
"logSourceHostName": "AI Engine Server",
"logSourceName": "AI Engine",
"logSourceTypeName": "LogRhythm AI Engine",
"messageId": 173885,
"mpeRuleId": -1,
"mpeRuleName": "",
"normalDateMax": "0001-01-01T00:00:00",
"objectName": "",
"objectType": "",
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHostName": "",
"originInterface": "",
"originIP": null,
"originLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"originMAC": "",
"originName": "",
"originNATIP": "",
"originNATPort": null,
"originNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"originPort": -1,
"originZone": "Unknown",
"parentProcessId": "",
"parentProcessName": "",
"parentProcessPath": "",
"policy": "",
"priority": 91,
"process": "",
"processId": -1,
"protocolId": -1,
"protocolName": "",
"quantity": 0,
"rate": 0,
"reason": "",
"recipient": "",
"result": "",
"responseCode": "",
"sender": "",
"session": "",
"recipientIdentityId": null,
"recipientIdentityName": ""
}
]
}
]
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 200 per un'entità (is_success=true): "Successfully retrieved details for the following alarms in LogRhythm: {IDs}" (Dettagli recuperati correttamente per i seguenti avvisi in LogRhythm: {ID}) Se non viene trovata una sveglia (is_success=true):"Le seguenti sveglie non sono state trovate in LogRhythm: {IDs}" If not found all alarms (is_success=false): "None of the provided alarms were found in LogRhythm." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Ottieni dettagli allarme". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella Bacheca casi | Nome tabella: Eventi sveglia {ID} Colonne della tabella:
|
Generale |
Aggiungi commento all'allarme
Descrizione
Aggiungi un commento all'allarme in LogRhythm.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID allarme | Stringa | N/D | Sì | Specifica l'ID dell'allarme a cui devi aggiungere un commento in LogRhythm. |
| Commento | Stringa | N/D | Sì | Specifica un commento da aggiungere all'allarme. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 200 (is_success=true): "Successfully added comment to the alarm with ID {ID} in LogRhythm." (Commento aggiunto correttamente all'allarme con ID {ID} in LogRhythm). L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiungi commento all'allarme". Motivo: {0}''.format(error.Stacktrace) Se il codice di stato non è 200: "Errore durante l'esecuzione dell'azione "Aggiungi commento all'allarme". Motivo: {0}''.format(responseMessage) |
Generale |
Elenco prove della richiesta
Descrizione
Elenca le prove della richiesta in LogRhythm.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID richiesta | Stringa | N/D | Sì | Specifica l'ID della richiesta per la quale vuoi restituire un elenco di prove. |
| Filtro per stato | CSV | N/D | No | Specifica un elenco separato da virgole di filtri di stato per le prove. Valori possibili: in attesa, completato, non riuscito. Se non viene fornito nulla, l'azione restituisce prove di tutti gli stati. |
| Tipo di filtro | CSV | N/D | No | Specifica un elenco separato da virgole dei filtri per tipo per le prove. Valori possibili: alarm, userEvents, log, note, file. Se non viene specificato nulla, l'azione restituisce prove di tutti i tipi. |
| Numero massimo di prove da restituire | Numero intero | 50 | No | Specifica il numero di prove da restituire. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
[
{
"number": 4,
"dateCreated": "2021-07-31T11:00:40.2433333Z",
"dateUpdated": "2021-07-31T11:00:40.2433333Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "test",
"pinned": false,
"datePinned": null,
"file": {
"name": "UploadCustomListTemplate .csv",
"size": 161
}
}
]
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 200 (is_success=true): "Successfully listed evidence related to the case with ID {ID} in LogRhythm." (Elenco delle prove relative alla richiesta con ID {ID} in LogRhythm riuscito). Se non sono disponibili prove (is_success=false): "Non sono state trovate prove per la richiesta con ID {ID} in LogRhythm". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Elenca prove della richiesta". Motivo: {0}''.format(error.Stacktrace) Se viene segnalato il codice di stato 404: "Errore durante l'esecuzione dell'azione "Elenca prove della richiesta". Motivo: {0}''.format(message) Se viene fornito un valore non valido per il parametro "Stato": "Errore durante l'esecuzione dell'azione "Elenca prove della richiesta". Motivo: valori non validi forniti nel parametro "Filtro stato": {invalid value}. Valori possibili: in attesa, completato, non riuscito. Se viene fornito un valore non valido per il parametro "Type" (Tipo): "Error executing action "List Case Evidence". Motivo: valori non validi forniti nel parametro "Type": {invalid value}. Valori possibili: alarm, userEvents, log, note, file. |
Generale |
| Bacheca casi | Prove relative alla richiesta {case id} Tipo Stato Contesto |
Aggiungi sveglia al caso
Descrizione
Aggiungi un avviso alla richiesta in LogRhythm.
Parametro
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID richiesta | Stringa | N/D | Sì | Specifica l'ID della richiesta a cui vuoi aggiungere gli allarmi. |
| ID allarme | CSV | N/D | Sì | Specifica un elenco separato da virgole degli allarmi da aggiungere alla richiesta. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
[
{
"number": 23,
"dateCreated": "2021-08-11T09:02:17.0066667Z",
"dateUpdated": "2021-08-11T09:02:17.0066667Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15298,
"alarmDate": "2021-07-30T02:07:29.813+03:00",
"alarmRuleId": 1000,
"alarmRuleName": "AIE: ISO-27001: File Monitoring Event-File Changes",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": -100,
"entityName": "Global Entity",
"riskBasedPriorityMax": 1
}
},
{
"number": 24,
"dateCreated": "2021-08-11T09:03:18.65Z",
"dateUpdated": "2021-08-11T09:03:18.65Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15297,
"alarmDate": "2021-07-30T02:07:28.353+03:00",
"alarmRuleId": 1419,
"alarmRuleName": "AIE: CCF: FIM General Activity",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": 1,
"entityName": "Primary Site",
"riskBasedPriorityMax": 0
}
}
]
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 201 (is_success=true): "Successfully added alarm evidence related to the case with ID {ID} in LogRhythm." (È stata aggiunta correttamente la prova dell'allarme relativa alla richiesta con ID {ID} in LogRhythm.) Se viene segnalato il codice di stato 200 (is_success=true): "Tutte le prove dell'allarme fornite facevano già parte della richiesta con ID {ID} in LogRhythm." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiungi allarme alla richiesta". Motivo: {0}''.format(error.Stacktrace) Se viene segnalato il codice di stato 404: "Errore durante l'esecuzione dell'azione "Aggiungi allarme alla richiesta". Motivo: {0}''.format(message or details) |
Generale |
Allega file alla richiesta
Descrizione
Allega un file alla richiesta in LogRhythm.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID richiesta | Stringa | N/D | Sì | Specifica l'ID della richiesta a cui vuoi allegare i file. |
| Percorsi file | CSV | N/D | Sì | Specifica un elenco separato da virgole di percorsi file assoluti. |
| Nota | Stringa | N/D | No | Specifica una nota da aggiungere alla richiesta insieme al file. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
[
{
"number": 26,
"dateCreated": "2021-08-11T09:17:33.91Z",
"dateUpdated": "2021-08-11T09:17:33.91Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"file": {
"name": "Get Deep Visibility Query Result_JsonResultSample.json",
"size": 4979
}
}
]
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se completato per un file path (is_success=true): "Successfully added the following files to the case with ID {ID} in LogRhythm." Se l'operazione non è riuscita per un percorso file (is_success= true): "L'azione non è riuscita ad aggiungere i seguenti file alla richiesta con ID {ID} in LogRhythm: {failed file paths}". Se l'operazione non è riuscita per tutti i percorsi dei file (is_success=false): "Nessun file è stato aggiunto alla richiesta con ID {ID} in LogRhythm". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Allega file alla richiesta". Motivo: {0}''.format(error.Stacktrace) Se viene segnalato il codice di stato 404: "Errore durante l'esecuzione dell'azione "Allega file alla richiesta". Motivo: {0}''.format(message) Se si è verificato un timeout: "Errore durante l'esecuzione dell'azione "Allega file alla richiesta". Motivo: l'azione è scaduta. I seguenti file sono ancora in fase di elaborazione: {pending files}. Aumenta il timeout nell'IDE. Nota: l'aggiunta dello stesso file creerà una voce separata in LogRhythm. |
Generale |
Aggiungi nota alla richiesta
Descrizione
Aggiungi una nota alla richiesta in LogRhythm.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID richiesta | Stringa | N/D | Sì | Specifica l'ID della richiesta a cui vuoi aggiungere una nota. |
| Nota | Stringa | N/D | Sì | Specifica una nota da aggiungere alla richiesta. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"number": 29,
"dateCreated": "2021-08-11T12:21:11.5547306Z",
"dateUpdated": "2021-08-11T12:21:11.5547306Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "note",
"status": "completed",
"statusMessage": null,
"text": "asdasd",
"pinned": false,
"datePinned": null
}
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 201 (is_success=true): "Successfully added a note to the case with ID {ID} in LogRhythm." (Nota aggiunta correttamente alla richiesta con ID {ID} in LogRhythm). L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiungi nota alla richiesta". Motivo: {0}''.format(error.Stacktrace) Se viene segnalato il codice di stato 404: "Errore durante l'esecuzione dell'azione "Aggiungi nota alla richiesta". Motivo: {0}''.format(message) |
Generale |
Crea richiesta
Descrizione
Crea un caso in LogRhythm.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome | Stringa | N/D | Sì | Specifica il nome della richiesta. |
| Priorità | DDL | 1 Valori possibili:
|
Sì | Specifica la priorità della richiesta. |
| Data di scadenza | Stringa | N/D | No | Specifica la data di scadenza della richiesta. Formato: ISO 8601 Esempio: 2021-04-23T12:38Z |
| Descrizione | Stringa | N/D | No | Specifica una descrizione per la richiesta. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:37:42.8942168Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 201 (is_success=true): "Successfully created case {number} in LogRhythm." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Crea richiesta". Motivo: {0}''.format(error.Stacktrace) Se viene segnalato il codice di stato 404: "Errore durante l'esecuzione dell'azione "Crea richiesta". Motivo: {0}''.format(message) |
Generale |
Aggiornamento richiesta
Descrizione
Aggiorna una richiesta in LogRhythm.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID richiesta | Stringa | N/D | Sì | Specifica l'ID della richiesta da aggiornare. |
| Nome | Stringa | N/D | No | Specifica un nuovo nome per la richiesta. |
| Priorità | DDL | Selezionane uno Valori possibili:
|
No | Specifica una nuova priorità per la richiesta. |
| Data di scadenza | Stringa | N/D | No | Specifica una nuova data di scadenza per la richiesta. Formato: ISO 8601 Esempio: 2021-04-23T12:38Z |
| Descrizione | Stringa | N/D | No | Specifica una nuova descrizione per la richiesta. |
| Risoluzione | Stringa | N/D | No | Specifica la modalità di risoluzione della richiesta. |
| Stato | DDL | Selezionane uno Valori possibili:
|
No | Specifica il nuovo stato della richiesta. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:48:52.9765558Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 201 (is_success=true): "Successfully updated case {ID} in LogRhythm." (Aggiornamento riuscito della richiesta {ID} in LogRhythm). L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiorna richiesta". Motivo: {0}''.format(error.Stacktrace)" Se viene segnalato il codice di stato 404: "Errore durante l'esecuzione dell'azione "Aggiorna richiesta". Motivo: {0}''.format(message) Se il codice di stato è 400: "Errore durante l'esecuzione dell'azione "Aggiorna richiesta". Motivo: {0}''.format(validationErrors)" Se il parametro "Stato" o "Priorità" è impostato su "Seleziona uno" e non viene fornito nessun altro valore: "Errore durante l'esecuzione dell'azione "Aggiorna richiesta". Motivo: almeno uno dei parametri dell'azione deve avere un valore fornito." |
Generale |
Scaricare i file della richiesta
Descrizione
Scarica i file correlati alla richiesta in LogRhythm.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID richiesta | Stringa | N/D | Sì | Specifica l'ID della richiesta da cui vuoi scaricare i file. |
| Percorso cartella di download | Stringa | N/D | Sì | Specifica il percorso della cartella in cui vuoi archiviare i file della richiesta. |
| Sovrascrivi | Bool | Falso | Sì | Se abilitata, l'azione sovrascrive il file con lo stesso nome. |
Pubblica su
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{"absolute_file_paths": ["file_path_1","file_path_2"]}
``` ##### Entity
Enrichment
N/A
##### Insights
N/A
##### Case Wall
<table>
<thead>
<tr>
<th><strong>Result type</strong></th>
<th><strong>Value/Description</strong></th>
<th><strong>Type</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Output message*</td>
<td><p><strong>The action should not fail nor stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If the</em> <strong></strong> <em>200 status code for all cases is reported (is_success=true):</em> "Successfully downloaded files related to case with ID {ID} in LogRhythm."</p><p></p><p><em>If no files are found (is_success=true): "</em>No related files were found for the case with ID {ID} in LogRhythm."</p><p></p><p><strong>The action should fail and stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If a</em> <strong></strong> <em>fatal error, like wrong credentials, no connection to the server, other is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(error.Stacktrace)"</p><p></p><p><em>If the 404 status code is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(message)"</p><p></p><p><em>If a file with the same name already exists, but "Overwrite" is set to false:</em> "Error executing action "Download Case Files". Reason: files with path {0} already exist. Please delete the files or set "Overwrite" to true."</p></td>
<td>General</td>
</tr>
</tbody>
</table>
### List Entity Events
#### Description
List events related to entities in LogRhythm. Supported entities: Hostname, IP
Address, User, CVE, Hash, URL.
Note: This action runs as async. Adjust the script timeout value in the
Google SecOps IDE for the action as needed.
#### Parameters
<table>
<thead>
<tr>
<th><strong>Parameter Display Name</strong></th>
<th><strong>Type</strong></th>
<th><strong>Default Value</strong></th>
<th><strong>Is Mandatory</strong></th>
<th><strong>Description</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Time Frame</td>
<td>DDL</td>
<td><p>Last Hour</p><p><strong></strong></p><p>Possible Values: </p><ul><li>Last Hour</li><li>Last 6 Hours</li><li>Last 24 Hours</li><li>Last Week</li><li>Last Month</li><li>Custom</li></ul></td>
<td>No</td>
<td>Name of the watchlist from which you want to remove values.</td>
</tr>
<tr>
<td>Start Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the start time for the results.</p><p></p><p>This parameter is mandatory, if "Custom" is selected for the "Time Frame" parameter. </p><p></p><p>Format: ISO 8601</p><p></p><p>Example: 2021-04-23T12:38Z</p></td>
</tr>
<tr>
<td>End Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the end time for the results. </p><p></p><p>If nothing is provided and "Custom" is selected for the "Time Frame" parameter then this parameter uses current time.</p><p></p><p>Format: ISO 8601</p></td>
</tr>
<tr>
<td>Sort Order</td>
<td>DDL</td>
<td><p>Datetime ASC <strong></strong> </p><p></p><p>Possible values:</p><ul><li>Datetime ASC</li><li>Datetime DESC</li><li>Risk ASC</li><li>RiskDESC</li></ul></td>
<td>No</td>
<td>Specify the sorting logic for the query.</td>
</tr>
<tr>
<td>Max Events To Return</td>
<td>Integer</td>
<td>50</td>
<td>No</td>
<td>Specify the number of events to return.</td>
</tr>
</tbody>
</table>
#### Run On
This action runs on the following entities:
* Hostname
* IP Address
* User
* CVE
* Hash
* URL
#### Action Results
##### Script Result
<table>
<thead>
<tr>
<th><strong>Script Result Name</strong></th>
<th><strong>Value Options</strong></th>
<th><strong>Example</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>is_success</td>
<td>True/False</td>
<td>is_success:False</td>
</tr>
</tbody>
</table>
##### JSON Result
```json
{
"kBytes": 2521.025390625,
"kBytesIn": 2500.0,
"kBytesOut": 21.025390625,
"outboundKBytes": 21.025390625,
"impactedHostTotalKBytes": 2521.025390625,
"keyField": "messageId",
"count": 1,
"classificationId": 3200,
"classificationName": "Error",
"classificationTypeName": "Operations",
"commonEventName": "HTTP 504 : Server Error - Gateway Time-Out",
"commonEventId": 8938,
"direction": 3,
"directionName": "External",
"entityId": 2,
"entityName": "EchoTestEntity",
"rootEntityId": 2,
"rootEntityName": "EchoTestEntity",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHost": "192.0.2.11",
"impactedInterface": "0",
"impactedIp": "192.0.2.11",
"impactedPort": 80,
"impactedZoneName": "External",
"indexedDate": 1629460029041,
"insertedDate": 1629123439811,
"logDate": 1629134239789,
"logMessage": "CISCONGFW EVENT Ev_Id=436 Ev",
"logSourceHost": "EchoTestHost",
"logSourceHostId": 2,
"logSourceHostName": "EchoTestHost",
"logSourceId": 15,
"logSourceName": "Echo_2_1000107",
"logSourceType": 1000107,
"logSourceTypeName": "Flat File - Cisco NGFW",
"messageId": "23066",
"messageTypeEnum": 2,
"mpeRuleId": 1176829,
"mpeRuleName": "HTTP 504 : Server Error : Gateway Timeout",
"normalDate": 1629123439791,
"normalDateMin": 1629123439791,
"normalMsgDateMax": 1629123439791,
"normalDateHour": 1629122400000,
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHost": "192.0.2.12",
"originInterface": "0",
"originIp": "192.0.2.12",
"originPort": 14042,
"originZone": 3,
"originZoneName": "External",
"priority": 38,
"process": "5",
"processId": 300003,
"protocolId": 6,
"protocolName": "TCP",
"serviceId": 1388,
"serviceName": "HTTP",
"portProtocol": "HTTP",
"session": "436",
"severity": "57",
"url": "http://www.google.com/",
"vendorMessageId": "504",
"version": "2",
"status": "504"
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se vengono trovati dati per un'entità (is_success=true): "Eventi recuperati correttamente per le seguenti entità in LogRhythm: {entity.identifier}." Se l'operazione non è riuscita per un'entità (is_success=true): "L'azione non è riuscita a recuperare gli eventi per le seguenti entità in LogRhythm: {entity.identifier}." Se l'operazione non è riuscita per tutte le entità (is_success=false): "Action wasn't able to retrieve events for the provided entities in LogRhythm." (L'azione non è riuscita a recuperare gli eventi per le entità fornite in LogRhythm.) Se non sono presenti dati per almeno un'entità (is_success=true): "Non sono stati trovati eventi per le seguenti entità in LogRhythm: {entity.identifier}." Se non sono presenti dati per tutte le entità (is_success=false): "Non sono stati trovati eventi per le entità fornite in LogRhythm." Se si è verificato un timeout per un'entità (is_success=true): "L'azione ha subito un timeout durante l'esecuzione. Entità in attesa: {entities that didn't return data}. Aumenta il timeout dell'azione nell'IDE." Messaggio asincrono: "In attesa di informazioni sugli eventi per le seguenti entità: {entity.identifier}" L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Elenca eventi entità". Motivo: {0}''.format(error.Stacktrace)" Se si è verificato un timeout per tutte le entità (is_success=false): "Errore durante l'esecuzione dell'azione "Elenca eventi entità". Motivo: l'azione ha raggiunto il timeout durante l'esecuzione. Non sono state recuperate informazioni sugli eventi per le entità fornite. Aumenta il timeout dell'azione nell'IDE." Se il parametro "Ora di inizio" è vuoto, quando il parametro "Intervallo di tempo" è impostato su "Personalizzato" (errore): "Errore durante l'esecuzione dell'azione "". Motivo: è necessario fornire l'ora di inizio quando si seleziona "Personalizzato" nel parametro "Intervallo di tempo"." Se il parametro "Ora di inizio" ha un valore maggiore del parametro "Ora di fine" (errore): "Errore durante l'esecuzione dell'azione "". Motivo: l'ora di fine deve essere successiva all'ora di inizio. Se il numero massimo di elementi da restituire non è maggiore di 0: "Errore durante l'esecuzione dell'azione "". Motivo: "Numero massimo di eventi da restituire" deve essere maggiore di 0. |
Generale |
| Tabella Bacheca casi | Nome tabella: {entity.identifier} Colonne della tabella:
Nota:questa colonna sarà visibile se è presente almeno un record con un valore. |
Entità |
Connettori
LogRhythm Cases Connector
Descrizione
Estrai casi da LogRhythm.
Parametri del connettore
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | N/D | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | event_type | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Radice API | Stringa | https://{IP}:8501 | Sì | Radice dell'API dell'istanza LogRhythm. |
| Token API | Password | N/D | Sì | Token API LogRhythm. |
| Max Days Backwards | Numero intero | 1 | Sì | Numero di giorni da cui recuperare le richieste. |
| Priorità minima di recupero | Numero intero | N/D | No | La priorità più bassa da utilizzare per recuperare le richieste. Se non viene fornito nulla, vengono importati i casi con tutte le priorità. Valori possibili: da 1 a 5. |
| Limite conteggio avvisi | Numero intero | 10 | Sì | Numero di casi da elaborare per iterazione del connettore. |
| File del certificato CA | Stringa | N/D | No | File del certificato CA con codifica Base64. |
| Utilizzare la lista consentita come lista nera | Casella di controllo | Deselezionata | Sì | Se questa opzione è abilitata, la lista consentita viene utilizzata come lista bloccata. |
| Verifica SSL | Casella di controllo | Deselezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server LogRhythm sia valido. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto proxy
Il connettore supporta il proxy.
LogRhythm - Rest API Alarms Connector
Descrizione
Estrai gli avvisi da LogRhythm utilizzando l'API REST.
Configura il connettore di allarmi API REST di LogRhythm in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Nome prodotto | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | classificationTypeName | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https://{IP}:8501 | Sì | Radice dell'API dell'istanza LogRhythm. |
| Token API | Password | N/D | Sì | Token API LogRhythm. |
| Ore massime indietro | Numero intero | 1 | No | Numero di ore da cui recuperare gli avvisi. |
| Numero massimo di sveglie da recuperare | Numero intero | 10 | No | Numero di avvisi da elaborare per un'iterazione del connettore. |
| Utilizzare la lista consentita come lista nera | Casella di controllo | Deselezionata | Sì | Se questa opzione è abilitata, la lista consentita viene utilizzata come lista bloccata. |
| Verifica SSL | Casella di controllo | Deselezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server LogRhythm sia valido. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto proxy
Il connettore supporta il proxy.
Job
Sincronizza i commenti delle richieste
Descrizione
Questo job sincronizza i commenti nei casi LogRhythm e Google SecOps.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Radice API | Stringa | https://{IP}:8501 | Sì | Radice dell'API dell'istanza LogRhythm. |
| Token API | Password | N/D | Sì | Token API LogRhythm. |
| File del certificato CA | Stringa | N/D | No | File del certificato CA con codifica Base64. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server LogRhythm sia valido. |
Sincronizza le richieste chiuse
Descrizione
Questo job sincronizza i casi LogRhythm chiusi e gli avvisi di Google SecOps.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Radice API | Stringa | https://{IP}:8501 | Sì | Radice dell'API dell'istanza LogRhythm. |
| Token API | Password | N/D | Sì | Token API LogRhythm. |
| File del certificato CA | Stringa | N/D | No | File del certificato CA con codifica Base64. |
| Ore massime indietro | Numero intero | 24 | No | Specifica il numero di ore a ritroso per sincronizzare gli stati. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server LogRhythm sia valido. |
Sincronizzare i commenti della sveglia
Descrizione
Questo job sincronizza i commenti negli avvisi LogRhythm e nei casi Google SecOps.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Radice API | Stringa | https://{IP}:8501 | Sì | Radice dell'API dell'istanza LogRhythm. |
| Token API | Password | N/D | Sì | Token API LogRhythm. |
| File del certificato CA | Stringa | N/D | No | File del certificato CA con codifica Base64. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server LogRhythm sia valido. |
Sincronizza le sveglie chiuse
Descrizione
Questo job sincronizza gli avvisi chiusi di LogRhythm e gli avvisi di Google SecOps.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Radice API | Stringa | https://{IP}:8501 | Sì | Radice dell'API dell'istanza LogRhythm. |
| Token API | Password | N/D | Sì | Token API LogRhythm. |
| File del certificato CA | Stringa | N/D | No | File del certificato CA con codifica Base64. |
| Ore massime indietro | Numero intero | 24 | No | Specifica il numero di ore a ritroso per sincronizzare gli stati. |
| Verifica SSL | Casella di controllo | Selezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server LogRhythm sia valido. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.