LogRhythm
統合バージョン: 17.0
このインテグレーションのバージョン 10 以降では、アラーム コネクタはなくなります。このコネクタは、LogRhythm 側で SOAP API が非推奨になったため、非推奨になりました。これで、統合全体で LogRhythm 7.9 リリースで導入された REST API が使用されるようになりました。
詳細については、SOAP API(LogRhythm 7.x.x)をご覧ください。
さらに、統合は Python バージョン 3 に更新されるため、このコネクタ(バージョン 9 から)を新しいバージョンの統合(バージョン 10)でキープすることはサポートされておらず、予期しない動作が発生します。
このアップデートの推奨フローは次のとおりです。
インテグレーションをバージョン 10 に更新する前に、インテグレーションのバージョン 9 を使用して、すべての「LogRhythm Alarms Connector」を「LogRhythm - Rest API Alarms Connector」に移行します。
インテグレーションをバージョン 10 に更新します。
Google Security Operations で LogRhythm の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| API ルート | 文字列 | https://{IP}:8501 | ○ | LogRhythm インスタンスの API ルート。 |
| API トークン | パスワード | なし | いいえ | LogRhythm インスタンスの API トークン。 |
| CA 証明書ファイル | 文字列 | なし | いいえ | Base64 でエンコードされた CA 証明書ファイル。 |
| SSL を確認 | チェックボックス | オフ | ○ | 有効にした場合は、LogRhythm サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
アクション
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されているパラメータを使用して、LogRhythm への接続をテストします。
パラメータ
なし
ユースケース
なし
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「指定された接続パラメータを使用して LogRhythm サーバーに正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 成功しなかった場合:「LogRhythm サーバーへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace) |
一般 |
エンティティの拡充
説明
LogRhythm の情報を使用してエンティティを拡充します。サポートされるエンティティ: ホスト名、IP アドレス。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| インサイトの作成 | チェックボックス | オン | いいえ | 有効にすると、エンティティに関して取得したすべての情報を含む分析情報が作成されます。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"id": 2,
"entity": {
"id": 2,
"name": "EchoTestEntity"
},
"name": "EchoTestHost",
"shortDesc": "LogRhythm ECHO",
"riskLevel": "None",
"threatLevel": "None",
"threatLevelComments": "",
"recordStatusName": "Active",
"hostZone": "Internal",
"location": {
"id": -1
},
"os": "Windows",
"osVersion": "Microsoft Windows NT 6.2.9200.0",
"useEventlogCredentials": false,
"osType": "Server",
"dateUpdated": "2021-04-14T09:18:17.677Z",
"hostRoles": [],
"hostIdentifiers": [
{
"type": "IPAddress",
"value": "10.1.2.50",
"dateAssigned": "2021-04-14T09:17:31Z"
},
{
"type": "WindowsName",
"value": "EchoTestHost",
"dateAssigned": "2021-04-14T09:17:31Z"
}
]
}
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| description | JSON で利用可能な場合 |
| risk_level | JSON で利用可能な場合 |
| threat_level | JSON で利用可能な場合 |
| 設定されます。 | JSON で利用可能な場合 |
| host_zone | JSON で利用可能な場合 |
| os | JSON で利用可能な場合 |
| type | JSON で利用可能な場合 |
| ips | JSON で利用可能な場合 |
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのエンティティにデータが利用可能な場合(is_success=true):「LogRhythm の情報を使用して次のエンティティを正常に拡充しました: {entity.identifier}」。 1 つのエンティティにデータが利用できない場合(is_success=true):「アクションは、LogRhythm の情報を使用して次のエンティティを拡充できませんでした: {entity.identifier}」。 すべてのエンティティでデータが利用できない場合(is_success=false):「指定されたエンティティはいずれも拡充されませんでした。」 アクションが失敗し、Playbook の実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「エンティティの拡充」の実行エラー。理由: {0}」.format(error.Stacktrace) |
一般 |
| Case Wall テーブル | テーブルのタイトル: {entity.identifier} | エンティティ |
アラームを更新する
説明
LogRhythm でアラームを更新します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| アラーム ID | 文字列 | なし | ○ | LogRhythm で更新する必要があるアラームの ID を指定します。 |
| ステータス | DDL | 1 つ選択 有効な値:
|
いいえ | アラームのステータスを指定します。 |
| リスクスコア | 整数 | なし | いいえ | アラームの新しいリスクスコアを指定します。 最大値: 100 |
実行
このアクションは次のエンティティに対して実行されます。
- URL
- IP アドレス
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 200 ステータス コードが報告された場合(is_success=true):「LogRhythm で ID {ID} のアラームが正常に更新されました。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「アラームの更新」の実行エラー。理由: {0}」.format(error.Stacktrace) ステータス コードが 200 でない場合:「アクション「アラームの更新」の実行エラー。理由: {0}」.format(responseMessage)" 「ステータス」パラメータが「1 つ選択」に設定され、他の値が指定されていない場合:「アクション「アラームの更新」の実行エラー。理由: アクション パラメータの少なくとも 1 つに値が指定されている必要があります。」 |
一般 |
アラームの詳細を取得する
説明
LogRhythm でアラームの詳細を取得します。このアクションを使用すると、LogRhythm Advanced Intelligence Engine(AIE)イベントから詳細を取得し、このデータを Google SecOps に取り込むことができます。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| アラーム ID | CSV | なし | ○ | 詳細を取得する必要があるアラーム ID のカンマ区切りのリストを指定します。 |
| 取得する最大イベント数 | 整数 | 50 | いいえ | 返されるイベント数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
[
{
"alarmRuleID": 98,
"alarmId": 18755,
"personId": -100,
"alarmDate": "2021-08-17T13:36:39.78",
"alarmStatus": 0,
"alarmStatusName": "New",
"entityId": 2,
"entityName": "EchoTestEntity",
"alarmRuleName": "LogRhythm Agent Heartbeat Missed",
"lastUpdatedID": -100,
"lastUpdatedName": "LogRhythm Administrator",
"dateInserted": "2021-08-17T13:36:39.807",
"dateUpdated": "2021-08-17T13:36:39.86",
"associatedCases": [],
"lastPersonID": null,
"eventCount": 1,
"eventDateFirst": "2021-08-17T13:36:37.057",
"eventDateLast": "2021-08-17T13:36:37.057",
"rbpMax": 39,
"rbpAvg": 39,
"smartResponseActions": null,
"alarmDataCached": "N",
"alarmEventsDetails": [
{
"account": "admin5",
"action": "",
"amount": null,
"bytesIn": null,
"bytesOut": null,
"classificationId": 2600,
"classificationName": "Compromise",
"classificationTypeName": "Security",
"command": "",
"commonEventId": 1031412,
"cve": "",
"commonEventName": "AIE: CSC: Disabled Account Auth Success",
"count": 1,
"directionId": 0,
"directionName": "Unknown",
"domain": "",
"duration": 0,
"entityId": -1000001,
"entityName": "",
"group": "",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHostId": -1,
"impactedHostName": "",
"impactedInterface": "",
"impactedIP": null,
"impactedLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"impactedMAC": "",
"impactedName": "",
"impactedNATIP": "",
"impactedNATPort": null,
"impactedNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"impactedPort": -1,
"impactedZone": "Unknown",
"itemsPacketsIn": 0,
"itemsPacketsOut": 0,
"logDate": "2021-08-16T09:51:16.993",
"login": "admin5",
"logMessage": "",
"logSourceHostId": -1000001,
"logSourceHostName": "AI Engine Server",
"logSourceName": "AI Engine",
"logSourceTypeName": "LogRhythm AI Engine",
"messageId": 173885,
"mpeRuleId": -1,
"mpeRuleName": "",
"normalDateMax": "0001-01-01T00:00:00",
"objectName": "",
"objectType": "",
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHostName": "",
"originInterface": "",
"originIP": null,
"originLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"originMAC": "",
"originName": "",
"originNATIP": "",
"originNATPort": null,
"originNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"originPort": -1,
"originZone": "Unknown",
"parentProcessId": "",
"parentProcessName": "",
"parentProcessPath": "",
"policy": "",
"priority": 91,
"process": "",
"processId": -1,
"protocolId": -1,
"protocolName": "",
"quantity": 0,
"rate": 0,
"reason": "",
"recipient": "",
"result": "",
"responseCode": "",
"sender": "",
"session": "",
"recipientIdentityId": null,
"recipientIdentityName": ""
}
]
}
]
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 200 ステータス コードが報告された場合(is_success=true):「LogRhythm で次のアラームの詳細情報が正常に取得されました: {IDs }」 1 つのアラームが見つからない場合(is_success=true):「次のアラームが LogRhythm で見つかりませんでした: {IDs}」 すべてのアラームが見つからない場合(is_success=false):「指定されたアラームが LogRhythm で見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「アラームの詳細の取得」の実行エラー。理由: {0}」.format(error.Stacktrace) |
一般 |
| Case Wall テーブル | テーブル名: アラーム {ID} イベント テーブル列:
|
一般 |
アラームにコメントを追加
説明
LogRhythm のアラームにコメントを追加します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| アラーム ID | 文字列 | なし | ○ | LogRhythm でコメントを追加する必要があるアラートの ID を指定します。 |
| コメント | 文字列 | なし | ○ | アラームに追加する必要があるコメントを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 200 ステータス コードが報告された場合(is_success=true):「LogRhythm で ID {ID} のアラームにコメントが正常に追加されました。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「アラームにコメントを追加」の実行エラー。理由: {0}」.format(error.Stacktrace) ステータス コードが 200 でない場合:「アクション「アラームにコメントを追加」の実行エラー。理由: {0}」.format(responseMessage) |
一般 |
ケースのエビデンスの一覧表示
説明
LogRhythm でケースのエビデンスを一覧表示します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| ケース ID | 文字列 | なし | ○ | エビデンスのリストを返すケースの ID を指定します。 |
| ステータス フィルタ | CSV | なし | いいえ | エビデンスのステータス フィルタのカンマ区切りリストを指定します。 有効な値: ペンディング、完了、失敗。 何も指定されない場合、アクションはすべてのステータスからエビデンスを返します。 |
| タイプ フィルタ | CSV | なし | いいえ | エビデンスのタイプ フィルタのカンマ区切りリストを指定します。 有効な値: アラーム、ユーザーイベント、ログ、メモ、ファイル。 何も指定されない場合、アクションはすべてのタイプからエビデンスを返します。 |
| 返される最大エビデンス数 | 整数 | 50 | いいえ | 返されるエビデンスの数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
[
{
"number": 4,
"dateCreated": "2021-07-31T11:00:40.2433333Z",
"dateUpdated": "2021-07-31T11:00:40.2433333Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "test",
"pinned": false,
"datePinned": null,
"file": {
"name": "UploadCustomListTemplate .csv",
"size": 161
}
}
]
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 200 ステータス コードが報告された場合(is_success=true):「LogRhythm で ID {ID} のケースに関連するエビデンスが正常に一覧表示されました。」 エビデンスがない場合(is_success=false):「LogRhythm で ID {ID} のケースのエビデンスが見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「ケースのエビデンスの一覧表示」の実行エラー。理由: {0}」.format(error.Stacktrace) 404 ステータス コードが報告された場合:「アクション「ケースのエビデンスの一覧表示」の実行エラー。理由: {0}」.format(message) 「ステータス」パラメータに無効な値が指定された場合:「アクション「ケースのエビデンスの一覧表示」の実行エラー。理由: パラメータ「ステータス フィルタ」に指定された値が無効です: {invalid value}。有効な値: ペンディング、完了、失敗。 「タイプ」パラメータに無効な値が指定された場合: 「アクション「ケースのエビデンスの一覧表示」の実行エラー。理由: パラメータ「タイプ」で指定された値が無効です: {invalid value}。有効な値: アラーム、ユーザーイベント、ログ、メモ、ファイル。 |
一般 |
| ケースウォール | ケース {ケース ID} エビデンス 種類 ステータス コンテキスト |
ケースにアラームを追加
説明
LogRhythm でケースにアラームを追加します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| ケース ID | 文字列 | なし | ○ | アラームを追加するケースの ID を指定します。 |
| アラーム ID | CSV | なし | ○ | ケースに追加する必要があるアラームのカンマ区切りのリストを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
[
{
"number": 23,
"dateCreated": "2021-08-11T09:02:17.0066667Z",
"dateUpdated": "2021-08-11T09:02:17.0066667Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15298,
"alarmDate": "2021-07-30T02:07:29.813+03:00",
"alarmRuleId": 1000,
"alarmRuleName": "AIE: ISO-27001: File Monitoring Event-File Changes",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": -100,
"entityName": "Global Entity",
"riskBasedPriorityMax": 1
}
},
{
"number": 24,
"dateCreated": "2021-08-11T09:03:18.65Z",
"dateUpdated": "2021-08-11T09:03:18.65Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15297,
"alarmDate": "2021-07-30T02:07:28.353+03:00",
"alarmRuleId": 1419,
"alarmRuleName": "AIE: CCF: FIM General Activity",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": 1,
"entityName": "Primary Site",
"riskBasedPriorityMax": 0
}
}
]
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 201 ステータス コードが報告された場合(is_success=true):「LogRhythm で ID {ID} のケースに関連するアラームのエビデンスが正常に追加されました。」 200 ステータス コードが報告された場合(is_success=true):「指定されたすべてのアラームのエビデンスはすでに LogRhythm で ID {ID} のケースの一部でした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「ケースにコメントを追加」の実行エラー。理由: {0}」.format(error.Stacktrace) 404 ステータス コードが報告された場合:「アクション「ケースにアラームを追加」の実行エラー。理由: {0}」.format(message or details) |
一般 |
ケースにファイルを添付する
説明
LogRhythm でケースにファイルを添付します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| ケース ID | 文字列 | なし | ○ | ファイルを添付するケースの ID を指定します。 |
| File Paths | CSV | なし | ○ | 絶対ファイルパスのカンマ区切りリストを指定します。 |
| 注 | 文字列 | なし | いいえ | ファイルとともにケースに追加するメモを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
[
{
"number": 26,
"dateCreated": "2021-08-11T09:17:33.91Z",
"dateUpdated": "2021-08-11T09:17:33.91Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"file": {
"name": "Get Deep Visibility Query Result_JsonResultSample.json",
"size": 4979
}
}
]
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのファイルのパス(is_success=true)が完了した場合:「LogRhythm で ID {ID} のケースに次のファイルが正常に追加されました。」 1 つのファイルパスで失敗した場合(is_success= true):「LogRhythm で ID {ID} のケースに次のファイルを追加できませんでした: {failed file paths}。」 すべてのファイルパスで失敗した場合(is_success=false):「LogRhythm で ID {ID} のケースにファイルは追加されませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「ケースにファイルを添付」の実行エラー。理由: {0}」.format(error.Stacktrace) 404 ステータス コードが報告された場合:「アクション「ケースにファイルを添付」の実行エラー。理由: {0}」.format(message) タイムアウトが発生した場合:アクション「ケースにファイルを添付」の実行エラー。理由: アクションがタイムアウトしました。次のファイルがまだ処理中です: {pending files}。IDE でタイムアウトを長くしてください。注: 同じファイルを追加すると、LogRhythm に別個のエントリが作成されます。 |
一般 |
ケースにメモを追加
説明
LogRhythm のケースにメモを追加します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| ケース ID | 文字列 | なし | ○ | メモを追加するケースの ID を指定します。 |
| 注 | 文字列 | なし | ○ | ケースに追加するメモを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"number": 29,
"dateCreated": "2021-08-11T12:21:11.5547306Z",
"dateUpdated": "2021-08-11T12:21:11.5547306Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "note",
"status": "completed",
"statusMessage": null,
"text": "asdasd",
"pinned": false,
"datePinned": null
}
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 201 ステータス コードが報告された場合(is_success=true):「LogRhythm で ID {ID} のケースにメモが正常に追加されました。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「ケースにメモを追加」の実行エラー。理由: {0}」.format(error.Stacktrace) 404 ステータス コードが報告された場合:「アクション「ケースにメモを追加」の実行エラー。理由: {0}」.format(message) |
一般 |
Create Case
説明
LogRhythm でケースを作成します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| 名前 | 文字列 | なし | ○ | ケースの名前を指定します。 |
| 優先度 | DDL | 1 有効な値:
|
○ | ケースの優先度を指定します。 |
| Due Date | 文字列 | なし | いいえ | ケースの期限を指定します。 形式: ISO 8601 例: 2021-04-23T12:38Z |
| 説明 | 文字列 | なし | いいえ | ケースの説明を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:37:42.8942168Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 201 ステータス コードが報告された場合(is_success=true):「LogRhythm でケース {number} が正常に作成されました。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:アクション「ケースの作成」の実行エラー。理由: {0}」.format(error.Stacktrace) 404 ステータス コードが報告された場合:「アクション「ケースの作成」の実行エラー。理由: {0}」.format(message) |
一般 |
ケースの更新
説明
LogRhythm でケースを更新します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| ケース ID | 文字列 | なし | ○ | 更新する必要があるケースの ID を指定します。 |
| Name | 文字列 | なし | いいえ | ケースの新しい名前を指定します。 |
| 優先度 | DDL | 1 つ選択 有効な値:
|
いいえ | ケースの新しい優先度を指定します。 |
| Due Date | 文字列 | なし | いいえ | ケースの新しい期限を指定します。 形式: ISO 8601 例: 2021-04-23T12:38Z |
| 説明 | 文字列 | なし | いいえ | ケースの新しい説明を指定します。 |
| 解決策 | 文字列 | なし | いいえ | ケースの解決方法を指定します。 |
| ステータス | DDL | 1 つ選択 有効な値:
|
いいえ | ケースの新しいステータスを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:48:52.9765558Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 201 ステータス コードが報告された場合(is_success=true):「LogRhythm でケース {ID} が正常に更新されました。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「ケースの更新」の実行エラー。理由: {0}」.format(error.Stacktrace)" 404 ステータス コードが報告された場合:「アクション「ケースの更新」の実行エラー。理由: {0}」.format(message) ステータス コードが 400 の場合:「アクション「ケースの更新」の実行エラー。理由: {0}」.format(validationErrors)" 「ステータス」または「優先度」パラメータが「1 つ選択」に設定され、他の値が指定されていない場合:「アクション「ケースの更新」の実行エラー。理由: アクション パラメータの少なくとも 1 つに値が指定されている必要があります。」 |
一般 |
ケースファイルのダウンロード
説明
LogRhythm でケースに関連するファイルをダウンロードします。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| ケース ID | 文字列 | なし | ○ | ファイルをダウンロードするケースの ID を指定します。 |
| ダウンロード フォルダ パス | 文字列 | なし | ○ | ケースファイルを保存するフォルダのパスを指定します。 |
| 上書き | Bool | False | ○ | 有効にすると、同じ名前のファイルが上書きされます。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{"absolute_file_paths": ["file_path_1","file_path_2"]}
``` ##### Entity
Enrichment
N/A
##### Insights
N/A
##### Case Wall
<table>
<thead>
<tr>
<th><strong>Result type</strong></th>
<th><strong>Value/Description</strong></th>
<th><strong>Type</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Output message*</td>
<td><p><strong>The action should not fail nor stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If the</em> <strong></strong> <em>200 status code for all cases is reported (is_success=true):</em> "Successfully downloaded files related to case with ID {ID} in LogRhythm."</p><p></p><p><em>If no files are found (is_success=true): "</em>No related files were found for the case with ID {ID} in LogRhythm."</p><p></p><p><strong>The action should fail and stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If a</em> <strong></strong> <em>fatal error, like wrong credentials, no connection to the server, other is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(error.Stacktrace)"</p><p></p><p><em>If the 404 status code is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(message)"</p><p></p><p><em>If a file with the same name already exists, but "Overwrite" is set to false:</em> "Error executing action "Download Case Files". Reason: files with path {0} already exist. Please delete the files or set "Overwrite" to true."</p></td>
<td>General</td>
</tr>
</tbody>
</table>
### List Entity Events
#### Description
List events related to entities in LogRhythm. Supported entities: Hostname, IP
Address, User, CVE, Hash, URL.
Note: This action runs as async. Adjust the script timeout value in the
Google SecOps IDE for the action as needed.
#### Parameters
<table>
<thead>
<tr>
<th><strong>Parameter Display Name</strong></th>
<th><strong>Type</strong></th>
<th><strong>Default Value</strong></th>
<th><strong>Is Mandatory</strong></th>
<th><strong>Description</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Time Frame</td>
<td>DDL</td>
<td><p>Last Hour</p><p><strong></strong></p><p>Possible Values: </p><ul><li>Last Hour</li><li>Last 6 Hours</li><li>Last 24 Hours</li><li>Last Week</li><li>Last Month</li><li>Custom</li></ul></td>
<td>No</td>
<td>Name of the watchlist from which you want to remove values.</td>
</tr>
<tr>
<td>Start Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the start time for the results.</p><p></p><p>This parameter is mandatory, if "Custom" is selected for the "Time Frame" parameter. </p><p></p><p>Format: ISO 8601</p><p></p><p>Example: 2021-04-23T12:38Z</p></td>
</tr>
<tr>
<td>End Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the end time for the results. </p><p></p><p>If nothing is provided and "Custom" is selected for the "Time Frame" parameter then this parameter uses current time.</p><p></p><p>Format: ISO 8601</p></td>
</tr>
<tr>
<td>Sort Order</td>
<td>DDL</td>
<td><p>Datetime ASC <strong></strong> </p><p></p><p>Possible values:</p><ul><li>Datetime ASC</li><li>Datetime DESC</li><li>Risk ASC</li><li>RiskDESC</li></ul></td>
<td>No</td>
<td>Specify the sorting logic for the query.</td>
</tr>
<tr>
<td>Max Events To Return</td>
<td>Integer</td>
<td>50</td>
<td>No</td>
<td>Specify the number of events to return.</td>
</tr>
</tbody>
</table>
#### Run On
This action runs on the following entities:
* Hostname
* IP Address
* User
* CVE
* Hash
* URL
#### Action Results
##### Script Result
<table>
<thead>
<tr>
<th><strong>Script Result Name</strong></th>
<th><strong>Value Options</strong></th>
<th><strong>Example</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>is_success</td>
<td>True/False</td>
<td>is_success:False</td>
</tr>
</tbody>
</table>
##### JSON Result
```json
{
"kBytes": 2521.025390625,
"kBytesIn": 2500.0,
"kBytesOut": 21.025390625,
"outboundKBytes": 21.025390625,
"impactedHostTotalKBytes": 2521.025390625,
"keyField": "messageId",
"count": 1,
"classificationId": 3200,
"classificationName": "Error",
"classificationTypeName": "Operations",
"commonEventName": "HTTP 504 : Server Error - Gateway Time-Out",
"commonEventId": 8938,
"direction": 3,
"directionName": "External",
"entityId": 2,
"entityName": "EchoTestEntity",
"rootEntityId": 2,
"rootEntityName": "EchoTestEntity",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHost": "192.0.2.11",
"impactedInterface": "0",
"impactedIp": "192.0.2.11",
"impactedPort": 80,
"impactedZoneName": "External",
"indexedDate": 1629460029041,
"insertedDate": 1629123439811,
"logDate": 1629134239789,
"logMessage": "CISCONGFW EVENT Ev_Id=436 Ev",
"logSourceHost": "EchoTestHost",
"logSourceHostId": 2,
"logSourceHostName": "EchoTestHost",
"logSourceId": 15,
"logSourceName": "Echo_2_1000107",
"logSourceType": 1000107,
"logSourceTypeName": "Flat File - Cisco NGFW",
"messageId": "23066",
"messageTypeEnum": 2,
"mpeRuleId": 1176829,
"mpeRuleName": "HTTP 504 : Server Error : Gateway Timeout",
"normalDate": 1629123439791,
"normalDateMin": 1629123439791,
"normalMsgDateMax": 1629123439791,
"normalDateHour": 1629122400000,
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHost": "192.0.2.12",
"originInterface": "0",
"originIp": "192.0.2.12",
"originPort": 14042,
"originZone": 3,
"originZoneName": "External",
"priority": 38,
"process": "5",
"processId": 300003,
"protocolId": 6,
"protocolName": "TCP",
"serviceId": 1388,
"serviceName": "HTTP",
"portProtocol": "HTTP",
"session": "436",
"severity": "57",
"url": "http://www.google.com/",
"vendorMessageId": "504",
"version": "2",
"status": "504"
}
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのエンティティのデータが見つかった場合(is_success=true):「LogRhythm で次のエンティティのイベントが正常に取得されました: {entity.identifier}。」 1 つのエンティティで失敗した場合(is_success=true):「LogRhythm で次のエンティティのイベントを取得できませんでした: {entity.identifier}。」 すべてのエンティティで失敗した場合(is_success=false):「LogRhythm で指定されたエンティティのイベントを取得できませんでした。」 少なくとも 1 つのエンティティのデータがない場合(is_success=true):「LogRhythm で次のエンティティのイベントが見つかりませんでした: {entity.identifier}。」 すべてのエンティティのデータがない場合(is_success=false):「LogRhythm で指定されたエンティティのイベントが見つかりませんでした。」 1 つのエンティティに対してタイムアウトが発生した場合(is_success=true):「実行中にアクションがタイムアウトしました。保留中のエンティティ: {entity that didn't return data}。IDE でアクションのタイムアウトを長くしてください。」 非同期メッセージ:「次のエンティティのイベント情報を待機しています: {entity.identifier}」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「エンティティ イベントの一覧表示」の実行エラー。理由: {0}」.format(error.Stacktrace)" すべてのエンティティでタイムアウトが発生した場合(is_success=false): 「アクション「エンティティ イベントの一覧表示」の実行エラー。理由: アクションの実行中にタイムアウトしました。指定されたエンティティのイベントに関する情報は取得されませんでした。IDE でアクションのタイムアウトを長くしてください。」 「開始時刻」パラメータが空で、「期間」パラメータが「カスタム」に設定されている場合(失敗):「アクション「」の実行エラー。理由:「期間」パラメータで「カスタム」が選択されている場合、「開始時刻」を指定する必要があります。」 「開始時刻」パラメータの値が「終了時刻」パラメータよりも大きい場合(失敗):「アクション「」の実行エラー。理由:「終了時刻」は「開始時刻」より後である必要があります。 返される最大アイテム数が 0 以下の場合:「アクション「」の実行エラー。理由: 「返される最大イベント数」は 0 より大きくする必要があります。 |
一般 |
| Case Wall テーブル | テーブル名: {entity.identifier} テーブル列:
注: この列は、値を含むレコードが 1 つ以上ある場合に表示されます。 |
エンティティ |
コネクタ
LogRhythm Cases Connector
説明
LogRhythm からケースを取得します。
コネクタ パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | なし | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | event_type | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://{IP}:8501 | ○ | LogRhythm インスタンスの API ルート。 |
| API トークン | パスワード | なし | ○ | LogRhythm API トークン。 |
| 遡る最大日数 | 整数 | 1 | ○ | ケースを取得する日からの日数 |
| 取得する最も低い優先度 | 整数 | なし | いいえ | ケースの取得に使用する必要がある最も低い優先度。 何も指定しないと、すべての優先度のケースが取り込まれます。 有効な値: 1 ~ 5。 |
| アラート数の上限 | 整数 | 10 | ○ | 1 回のコネクタのイテレーションで処理するケースの数。 |
| CA 証明書ファイル | 文字列 | なし | いいえ | Base64 でエンコードされた CA 証明書ファイル。 |
| 許可リストを拒否リストとして使用 | チェックボックス | オフ | ○ | 有効にすると、許可リストが拒否リストとして使用されます。 |
| SSL を確認 | チェックボックス | オフ | ○ | 有効にした場合は、LogRhythm サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタ ルール
プロキシのサポート
コネクタはプロキシをサポートしています。
LogRhythm - Rest API Alarms Connector
説明
Rest API を使用して LogRhythm からアラームを pull します。
Google SecOps で LogRhythm - Rest API Alarms Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | classificationTypeName | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://{IP}:8501 | ○ | LogRhythm インスタンスの API ルート。 |
| API トークン | パスワード | なし | ○ | LogRhythm API トークン。 |
| 遡る最大時間数 | 整数 | 1 | いいえ | アラートを取得する時点からの時間数。 |
| 取得するアラームの最大数 | 整数 | 10 | いいえ | 1 回のコネクタの反復処理で処理するアラートの数。 |
| 許可リストを拒否リストとして使用 | チェックボックス | オフ | ○ | 有効にすると、許可リストが拒否リストとして使用されます。 |
| SSL を確認 | チェックボックス | オフ | ○ | 有効にした場合は、LogRhythm サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタ ルール
プロキシのサポート
コネクタはプロキシをサポートしています。
ジョブ
ケースのコメントの同期
説明
このジョブは、LogRhythm ケースと Google SecOps ケースのコメントを同期します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | https://{IP}:8501 | ○ | LogRhythm インスタンスの API ルート。 |
| API トークン | パスワード | なし | ○ | LogRhythm API トークン。 |
| CA 証明書ファイル | 文字列 | なし | いいえ | Base64 でエンコードされた CA 証明書ファイル。 |
| SSL を確認 | チェックボックス | オン | ○ | 有効にした場合は、LogRhythm サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
クローズされたケースの同期
説明
このジョブは、クローズされた LogRhythm ケースと Google SecOps アラートを同期します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | https://{IP}:8501 | ○ | LogRhythm インスタンスの API ルート。 |
| API トークン | パスワード | なし | ○ | LogRhythm API トークン。 |
| CA 証明書ファイル | 文字列 | なし | いいえ | Base64 でエンコードされた CA 証明書ファイル。 |
| 遡る最大時間数 | 整数 | 24 | いいえ | ステータスを同期するために遡る時間数を指定します。 |
| SSL を確認 | チェックボックス | オン | ○ | 有効にした場合は、LogRhythm サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
アラームのコメントの同期
説明
このジョブは、LogRhythm アラームと Google SecOps ケースのコメントを同期します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | https://{IP}:8501 | ○ | LogRhythm インスタンスの API ルート。 |
| API トークン | パスワード | なし | ○ | LogRhythm API トークン。 |
| CA 証明書ファイル | 文字列 | なし | いいえ | Base64 でエンコードされた CA 証明書ファイル。 |
| SSL を確認 | チェックボックス | オン | ○ | 有効にした場合は、LogRhythm サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
クローズされたアラームの同期
説明
このジョブは、クローズされた LogRhythm アラームと Google SecOps アラートを同期します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | https://{IP}:8501 | ○ | LogRhythm インスタンスの API ルート。 |
| API トークン | パスワード | なし | ○ | LogRhythm API トークン。 |
| CA 証明書ファイル | 文字列 | なし | いいえ | Base64 でエンコードされた CA 証明書ファイル。 |
| 遡る最大時間数 | 整数 | 24 | いいえ | ステータスを同期するために遡る時間数を指定します。 |
| SSL を確認 | チェックボックス | オン | ○ | 有効にした場合は、LogRhythm サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。