LogRhythm
통합 버전: 17.0
이 통합의 버전 10부터는 더 이상 알람 커넥터가 없습니다. LogRhythm 측에서 SOAP API가 지원 중단되었으므로 이 커넥터도 지원 중단됩니다. 이제 전체 통합에서 LogRhythm 7.9 출시에서 도입된 REST API를 사용합니다.
자세한 내용은 SOAP API (LogRhythm 7.x.x)를 참고하세요.
또한 통합이 Python 버전 3으로 업데이트되므로 이 커넥터 (버전 9)를 최신 버전의 통합 (버전 10)과 함께 유지하는 것은 지원되지 않으며 예기치 않은 동작이 발생합니다.
이 업데이트에 권장되는 흐름을 따르세요.
통합을 버전 10으로 업데이트하기 전에 통합 버전 9를 사용하여 모든 'LogRhythm Alarms Connector'를 'LogRhythm - Rest API Alarms Connector'로 이전하세요.
통합을 버전 10으로 업데이트합니다.
Google Security Operations에서 LogRhythm 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | Description(설명) |
|---|---|---|---|---|
| API 루트 | 문자열 | https://{IP}:8501 | 예 | LogRhythm 인스턴스의 API 루트입니다. |
| API 토큰 | 비밀번호 | 해당 사항 없음 | 아니요 | LogRhythm 인스턴스의 API 토큰입니다. |
| CA 인증서 파일 | 문자열 | 해당 사항 없음 | 아니요 | Base64로 인코딩된 CA 인증서 파일입니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 LogRhythm 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
작업
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 LogRhythm에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
사용 사례
해당 사항 없음
실행
이 작업은 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 LogRhythm 서버에 성공적으로 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 실패한 경우: 'LogRhythm 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
항목 보강
설명
LogRhythm의 정보를 사용하여 항목을 보강합니다. 지원되는 항목: 호스트 이름, IP 주소
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | Description(설명) |
|---|---|---|---|---|
| 통계 만들기 | 체크박스 | 선택 | No | 사용 설정하면 작업에서 항목에 대한 모든 검색된 정보가 포함된 통계를 만듭니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"id": 2,
"entity": {
"id": 2,
"name": "EchoTestEntity"
},
"name": "EchoTestHost",
"shortDesc": "LogRhythm ECHO",
"riskLevel": "None",
"threatLevel": "None",
"threatLevelComments": "",
"recordStatusName": "Active",
"hostZone": "Internal",
"location": {
"id": -1
},
"os": "Windows",
"osVersion": "Microsoft Windows NT 6.2.9200.0",
"useEventlogCredentials": false,
"osType": "Server",
"dateUpdated": "2021-04-14T09:18:17.677Z",
"hostRoles": [],
"hostIdentifiers": [
{
"type": "IPAddress",
"value": "10.1.2.50",
"dateAssigned": "2021-04-14T09:17:31Z"
},
{
"type": "WindowsName",
"value": "EchoTestHost",
"dateAssigned": "2021-04-14T09:17:31Z"
}
]
}
항목 보강
| 보강 필드 이름 | 로직 - 적용 시기 |
|---|---|
| 설명 | JSON으로 제공되는 경우 |
| risk_level | JSON으로 제공되는 경우 |
| threat_level | JSON으로 제공되는 경우 |
| 상태 | JSON으로 제공되는 경우 |
| host_zone | JSON으로 제공되는 경우 |
| os | JSON으로 제공되는 경우 |
| 유형 | JSON으로 제공되는 경우 |
| ips | JSON으로 제공되는 경우 |
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 항목 하나에 데이터를 사용할 수 있는 경우 (is_success=true): 'LogRhythm: {entity.identifier}의 정보를 사용하여 다음 항목을 성공적으로 보강했습니다.' 항목 하나에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 LogRhythm: {entity.identifier}의 정보를 사용하여 다음 항목을 보강할 수 없습니다.' 모든 항목에 데이터를 사용할 수 없는 경우(is_success=false): '제공된 항목이 보강되지 않았습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''항목 보강' 작업 실행 중에 오류가 발생했습니다' 이유: {0}''.format(error.Stacktrace) |
일반 |
| 케이스 월 테이블 | 테이블 제목: {entity.identifier} | 항목 |
알람 업데이트
설명
LogRhythm에서 알람을 업데이트합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알람 ID | 문자열 | 해당 사항 없음 | 예 | LogRhythm에서 업데이트해야 하는 알람의 ID를 지정합니다. |
| 상태 | DDL | 다음 중 하나를 선택하세요. 가능한 값은 다음과 같습니다.
|
아니요 | 알람 상태를 지정합니다. |
| 위험 점수 | 정수 | 해당 사항 없음 | 아니요 | 알람의 새 위험 점수를 지정합니다. 최대: 100 |
실행
이 작업은 다음 항목에서 실행됩니다.
- URL
- IP 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 200 상태 코드가 보고된 경우 (is_success=true): 'LogRhythm에서 ID {ID}로 알람을 업데이트했습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''알람 업데이트' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) 상태 코드가 200이 아닌 경우: ''알람 업데이트' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(responseMessage)' '상태' 매개변수가 '하나 선택'으로 설정되어 있고 다른 값이 제공되지 않은 경우: ''알람 업데이트' 작업을 실행하는 중에 오류가 발생했습니다. 이유: 작업 매개변수 중 하나 이상에 값이 제공되어야 합니다.' |
일반 |
알람 세부정보 가져오기
설명
LogRhythm에서 알람 세부정보를 가져옵니다. 이 작업을 통해 LogRhythm Advanced Intelligence Engine (AIE) 이벤트의 세부정보를 가져오고 이 데이터를 Google SecOps에 인그레션할 수 있습니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알람 ID | CSV | 해당 사항 없음 | 예 | 세부정보를 가져와야 하는 알람 ID를 쉼표로 구분한 목록을 지정합니다. |
| 가져올 최대 이벤트 수 | 정수 | 50 | 아니요 | 반환할 이벤트 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
[
{
"alarmRuleID": 98,
"alarmId": 18755,
"personId": -100,
"alarmDate": "2021-08-17T13:36:39.78",
"alarmStatus": 0,
"alarmStatusName": "New",
"entityId": 2,
"entityName": "EchoTestEntity",
"alarmRuleName": "LogRhythm Agent Heartbeat Missed",
"lastUpdatedID": -100,
"lastUpdatedName": "LogRhythm Administrator",
"dateInserted": "2021-08-17T13:36:39.807",
"dateUpdated": "2021-08-17T13:36:39.86",
"associatedCases": [],
"lastPersonID": null,
"eventCount": 1,
"eventDateFirst": "2021-08-17T13:36:37.057",
"eventDateLast": "2021-08-17T13:36:37.057",
"rbpMax": 39,
"rbpAvg": 39,
"smartResponseActions": null,
"alarmDataCached": "N",
"alarmEventsDetails": [
{
"account": "admin5",
"action": "",
"amount": null,
"bytesIn": null,
"bytesOut": null,
"classificationId": 2600,
"classificationName": "Compromise",
"classificationTypeName": "Security",
"command": "",
"commonEventId": 1031412,
"cve": "",
"commonEventName": "AIE: CSC: Disabled Account Auth Success",
"count": 1,
"directionId": 0,
"directionName": "Unknown",
"domain": "",
"duration": 0,
"entityId": -1000001,
"entityName": "",
"group": "",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHostId": -1,
"impactedHostName": "",
"impactedInterface": "",
"impactedIP": null,
"impactedLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"impactedMAC": "",
"impactedName": "",
"impactedNATIP": "",
"impactedNATPort": null,
"impactedNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"impactedPort": -1,
"impactedZone": "Unknown",
"itemsPacketsIn": 0,
"itemsPacketsOut": 0,
"logDate": "2021-08-16T09:51:16.993",
"login": "admin5",
"logMessage": "",
"logSourceHostId": -1000001,
"logSourceHostName": "AI Engine Server",
"logSourceName": "AI Engine",
"logSourceTypeName": "LogRhythm AI Engine",
"messageId": 173885,
"mpeRuleId": -1,
"mpeRuleName": "",
"normalDateMax": "0001-01-01T00:00:00",
"objectName": "",
"objectType": "",
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHostName": "",
"originInterface": "",
"originIP": null,
"originLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"originMAC": "",
"originName": "",
"originNATIP": "",
"originNATPort": null,
"originNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"originPort": -1,
"originZone": "Unknown",
"parentProcessId": "",
"parentProcessName": "",
"parentProcessPath": "",
"policy": "",
"priority": 91,
"process": "",
"processId": -1,
"protocolId": -1,
"protocolName": "",
"quantity": 0,
"rate": 0,
"reason": "",
"recipient": "",
"result": "",
"responseCode": "",
"sender": "",
"session": "",
"recipientIdentityId": null,
"recipientIdentityName": ""
}
]
}
]
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나의 항목에 대해 200 상태 코드가 보고된 경우 (is_success=true): 'LogRhythm에서 다음 알람의 세부정보를 가져왔습니다: {IDs}' 알람을 하나 찾을 수 없는 경우 (is_success=true): 'LogRhythm에서 다음 알람을 찾을 수 없습니다: {IDs}' 일부 알람을 찾을 수 없는 경우 (is_success=false): 'LogRhythm에서 제공된 알람을 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''알람 세부정보 가져오기' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) |
일반 |
| 케이스 월 테이블 | 표 이름: 알람 {ID} 이벤트 테이블 열:
|
일반 |
알람에 댓글 추가
설명
LogRhythm의 알람에 댓글을 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알람 ID | 문자열 | 해당 사항 없음 | 예 | LogRhythm에 주석을 추가해야 하는 알람의 ID를 지정합니다. |
| 댓글 | 문자열 | 해당 사항 없음 | 예 | 알람에 추가해야 하는 의견을 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 200 상태 코드가 보고된 경우 (is_success=true): 'LogRhythm에서 ID가 {ID}인 알람에 의견을 추가했습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''알람에 댓글 추가' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) 상태 코드가 200이 아닌 경우: ''알람에 의견 추가' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(responseMessage) |
일반 |
케이스 증거 나열
설명
LogRhythm에서 케이스 증거를 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 케이스 ID | 문자열 | 해당 사항 없음 | 예 | 증거 목록을 반환할 케이스의 ID를 지정합니다. |
| 상태 필터 | CSV | 해당 사항 없음 | 아니요 | 증거의 쉼표로 구분된 상태 필터 목록을 지정합니다. 가능한 값: pending, completed, failed 아무것도 제공하지 않으면 작업에서 모든 상태의 증거를 반환합니다. |
| 유형 필터 | CSV | 해당 사항 없음 | 아니요 | 증거의 쉼표로 구분된 유형 필터 목록을 지정합니다. 가능한 값: alarm, userEvents, log, note, file 아무것도 제공하지 않으면 작업에서 모든 유형의 증거를 반환합니다. |
| 반환할 최대 증거 수 | 정수 | 50 | 아니요 | 반환할 증거 수를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
[
{
"number": 4,
"dateCreated": "2021-07-31T11:00:40.2433333Z",
"dateUpdated": "2021-07-31T11:00:40.2433333Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "test",
"pinned": false,
"datePinned": null,
"file": {
"name": "UploadCustomListTemplate .csv",
"size": 161
}
}
]
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 200 상태 코드가 보고된 경우 (is_success=true): 'LogRhythm에서 ID가 {ID}인 케이스와 관련된 증거를 나열했습니다.' 증거를 사용할 수 없는 경우 (is_success=false): 'LogRhythm에서 ID가 {ID}인 케이스의 증거를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''케이스 증거 나열' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) 404 상태 코드가 보고된 경우: ''케이스 증거 목록' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(message) '상태' 매개변수에 잘못된 값이 제공된 경우: ''케이스 증거 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: '상태 필터' 매개변수에 잘못된 값({invalid value})이 제공되었습니다. 가능한 값: pending, completed, failed '유형' 매개변수에 잘못된 값이 제공된 경우: ''케이스 증거 나열' 작업을 실행하는 중에 오류가 발생했습니다. 이유: 'Type' 매개변수에 잘못된 값이 제공되었습니다({invalid value}). 가능한 값: alarm, userEvents, log, note, file |
일반 |
| 케이스 월 | Case {case id} Evidence 유형 상태 컨텍스트 |
케이스에 알람 추가
설명
LogRhythm의 케이스에 알람을 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 케이스 ID | 문자열 | 해당 사항 없음 | 예 | 알람을 추가할 케이스의 ID를 지정합니다. |
| 알람 ID | CSV | 해당 사항 없음 | 예 | 케이스에 추가해야 하는 알람을 쉼표로 구분하여 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
[
{
"number": 23,
"dateCreated": "2021-08-11T09:02:17.0066667Z",
"dateUpdated": "2021-08-11T09:02:17.0066667Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15298,
"alarmDate": "2021-07-30T02:07:29.813+03:00",
"alarmRuleId": 1000,
"alarmRuleName": "AIE: ISO-27001: File Monitoring Event-File Changes",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": -100,
"entityName": "Global Entity",
"riskBasedPriorityMax": 1
}
},
{
"number": 24,
"dateCreated": "2021-08-11T09:03:18.65Z",
"dateUpdated": "2021-08-11T09:03:18.65Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15297,
"alarmDate": "2021-07-30T02:07:28.353+03:00",
"alarmRuleId": 1419,
"alarmRuleName": "AIE: CCF: FIM General Activity",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": 1,
"entityName": "Primary Site",
"riskBasedPriorityMax": 0
}
}
]
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 201 상태 코드가 보고된 경우 (is_success=true): 'LogRhythm에서 ID가 {ID}인 케이스와 관련된 알람 증거를 추가했습니다.' 200 상태 코드가 보고된 경우 (is_success=true): '제공된 모든 알람 증거가 LogRhythm의 {ID} 케이스에 이미 포함되어 있습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''케이스에 알람 추가' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) 404 상태 코드가 보고된 경우: ''케이스에 알람 추가' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(message or details) |
일반 |
케이스에 파일 첨부
설명
LogRhythm의 케이스에 파일을 첨부합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 케이스 ID | 문자열 | 해당 사항 없음 | 예 | 파일을 첨부할 케이스의 ID를 지정합니다. |
| File Paths | CSV | 해당 사항 없음 | 예 | 절대 파일 경로의 쉼표로 구분된 목록을 지정합니다. |
| 참고 | 문자열 | 해당 사항 없음 | 아니요 | 파일과 함께 케이스에 추가할 메모를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
[
{
"number": 26,
"dateCreated": "2021-08-11T09:17:33.91Z",
"dateUpdated": "2021-08-11T09:17:33.91Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"file": {
"name": "Get Deep Visibility Query Result_JsonResultSample.json",
"size": 4979
}
}
]
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나의 파일 경로에 대해 완료된 경우 (is_success=true): 'LogRhythm의 ID {ID} 케이스에 다음 파일을 추가했습니다.' 하나의 파일 경로에 실패한 경우 (is_success= true): '작업이 LogRhythm: {실패한 파일 경로}의 ID {ID}가 있는 케이스에 다음 파일을 추가할 수 없습니다.' 모든 파일 경로에 실패한 경우 (is_success=false): 'LogRhythm의 ID {ID} 케이스에 추가된 파일이 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''케이스에 파일 첨부' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) 404 상태 코드가 보고된 경우: ''케이스에 파일 첨부' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(message) 제한 시간이 초과된 경우: ''케이스에 파일 첨부' 작업 실행 중에 오류가 발생했습니다. 이유: 작업 제한 시간이 초과되었습니다. 다음 파일은 아직 처리 중입니다. {대기 중인 파일} IDE에서 제한 시간을 늘리세요. 참고: 동일한 파일을 추가하면 LogRhythm에 별도의 항목이 생성됩니다. |
일반 |
케이스에 메모 추가
설명
LogRhythm의 케이스에 메모를 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 케이스 ID | 문자열 | 해당 사항 없음 | 예 | 메모를 추가할 케이스의 ID를 지정합니다. |
| 참고 | 문자열 | 해당 사항 없음 | 예 | 케이스에 추가해야 하는 메모를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"number": 29,
"dateCreated": "2021-08-11T12:21:11.5547306Z",
"dateUpdated": "2021-08-11T12:21:11.5547306Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "note",
"status": "completed",
"statusMessage": null,
"text": "asdasd",
"pinned": false,
"datePinned": null
}
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 201 상태 코드가 보고된 경우 (is_success=true): 'LogRhythm에서 ID가 {ID}인 케이스에 메모를 추가했습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''케이스에 메모 추가' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) 404 상태 코드가 보고된 경우: ''케이스에 메모 추가' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(message) |
일반 |
케이스 만들기
설명
LogRhythm에서 케이스를 만듭니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 이름 | 문자열 | 해당 사항 없음 | 예 | 케이스 이름을 지정합니다. |
| 우선순위 | DDL | 1 가능한 값은 다음과 같습니다.
|
예 | 케이스의 우선순위를 지정합니다. |
| 마감일 | 문자열 | 해당 사항 없음 | 아니요 | 케이스의 마감일을 지정합니다. 형식: ISO 8601 예: 2021-04-23T12:38Z |
| 설명 | 문자열 | 해당 사항 없음 | 아니요 | 케이스에 대한 설명을 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:37:42.8942168Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 201 상태 코드가 보고된 경우 (is_success=true): 'LogRhythm에서 케이스 {number}를 만들었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''케이스 만들기' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) 404 상태 코드가 보고된 경우: ''케이스 만들기' 작업을 실행하는 동안 오류가 발생했습니다. 이유: {0}''.format(message) |
일반 |
케이스 업데이트
설명
LogRhythm에서 케이스를 업데이트합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 케이스 ID | 문자열 | 해당 사항 없음 | 예 | 업데이트해야 하는 케이스의 ID를 지정합니다. |
| 이름 | 문자열 | 해당 사항 없음 | 아니요 | 케이스의 새 이름을 지정합니다. |
| 우선순위 | DDL | 다음 중 하나를 선택하세요. 가능한 값은 다음과 같습니다.
|
아니요 | 케이스의 새 우선순위를 지정합니다. |
| 마감일 | 문자열 | 해당 사항 없음 | 아니요 | 케이스의 새 마감일을 지정합니다. 형식: ISO 8601 예: 2021-04-23T12:38Z |
| 설명 | 문자열 | 해당 사항 없음 | 아니요 | 케이스의 새 설명을 지정합니다. |
| 해결 방법 | 문자열 | 해당 사항 없음 | 아니요 | 케이스가 해결된 방법을 지정합니다. |
| 상태 | DDL | 다음 중 하나를 선택하세요. 가능한 값은 다음과 같습니다.
|
아니요 | 케이스의 새 상태를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:48:52.9765558Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 201 상태 코드가 보고된 경우 (is_success=true): 'LogRhythm에서 케이스 {ID}를 업데이트했습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''케이스 업데이트' 작업 실행 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)' 404 상태 코드가 보고된 경우: '케이스 업데이트' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(message) 상태 코드가 400인 경우: ''케이스 업데이트' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(validationErrors)' '상태' 또는 '우선순위' 매개변수가 '하나 선택'으로 설정되어 있고 다른 값이 제공되지 않은 경우: '케이스 업데이트' 작업을 실행하는 중에 오류가 발생했습니다. 이유: 작업 매개변수 중 하나 이상에 값이 제공되어야 합니다.' |
일반 |
케이스 파일 다운로드
설명
LogRhythm에서 케이스와 관련된 파일을 다운로드합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 케이스 ID | 문자열 | 해당 사항 없음 | 예 | 파일을 다운로드할 케이스의 ID를 지정합니다. |
| 다운로드 폴더 경로 | 문자열 | 해당 사항 없음 | 예 | 케이스 파일을 저장할 폴더의 경로를 지정합니다. |
| 덮어쓰기 | Bool | 거짓 | 예 | 사용 설정하면 작업에서 같은 이름의 파일을 덮어씁니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예시 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{"absolute_file_paths": ["file_path_1","file_path_2"]}
``` ##### Entity
Enrichment
N/A
##### Insights
N/A
##### Case Wall
<table>
<thead>
<tr>
<th><strong>Result type</strong></th>
<th><strong>Value/Description</strong></th>
<th><strong>Type</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Output message*</td>
<td><p><strong>The action should not fail nor stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If the</em> <strong></strong> <em>200 status code for all cases is reported (is_success=true):</em> "Successfully downloaded files related to case with ID {ID} in LogRhythm."</p><p></p><p><em>If no files are found (is_success=true): "</em>No related files were found for the case with ID {ID} in LogRhythm."</p><p></p><p><strong>The action should fail and stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If a</em> <strong></strong> <em>fatal error, like wrong credentials, no connection to the server, other is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(error.Stacktrace)"</p><p></p><p><em>If the 404 status code is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(message)"</p><p></p><p><em>If a file with the same name already exists, but "Overwrite" is set to false:</em> "Error executing action "Download Case Files". Reason: files with path {0} already exist. Please delete the files or set "Overwrite" to true."</p></td>
<td>General</td>
</tr>
</tbody>
</table>
### List Entity Events
#### Description
List events related to entities in LogRhythm. Supported entities: Hostname, IP
Address, User, CVE, Hash, URL.
Note: This action runs as async. Adjust the script timeout value in the
Google SecOps IDE for the action as needed.
#### Parameters
<table>
<thead>
<tr>
<th><strong>Parameter Display Name</strong></th>
<th><strong>Type</strong></th>
<th><strong>Default Value</strong></th>
<th><strong>Is Mandatory</strong></th>
<th><strong>Description</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Time Frame</td>
<td>DDL</td>
<td><p>Last Hour</p><p><strong></strong></p><p>Possible Values: </p><ul><li>Last Hour</li><li>Last 6 Hours</li><li>Last 24 Hours</li><li>Last Week</li><li>Last Month</li><li>Custom</li></ul></td>
<td>No</td>
<td>Name of the watchlist from which you want to remove values.</td>
</tr>
<tr>
<td>Start Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the start time for the results.</p><p></p><p>This parameter is mandatory, if "Custom" is selected for the "Time Frame" parameter. </p><p></p><p>Format: ISO 8601</p><p></p><p>Example: 2021-04-23T12:38Z</p></td>
</tr>
<tr>
<td>End Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the end time for the results. </p><p></p><p>If nothing is provided and "Custom" is selected for the "Time Frame" parameter then this parameter uses current time.</p><p></p><p>Format: ISO 8601</p></td>
</tr>
<tr>
<td>Sort Order</td>
<td>DDL</td>
<td><p>Datetime ASC <strong></strong> </p><p></p><p>Possible values:</p><ul><li>Datetime ASC</li><li>Datetime DESC</li><li>Risk ASC</li><li>RiskDESC</li></ul></td>
<td>No</td>
<td>Specify the sorting logic for the query.</td>
</tr>
<tr>
<td>Max Events To Return</td>
<td>Integer</td>
<td>50</td>
<td>No</td>
<td>Specify the number of events to return.</td>
</tr>
</tbody>
</table>
#### Run On
This action runs on the following entities:
* Hostname
* IP Address
* User
* CVE
* Hash
* URL
#### Action Results
##### Script Result
<table>
<thead>
<tr>
<th><strong>Script Result Name</strong></th>
<th><strong>Value Options</strong></th>
<th><strong>Example</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>is_success</td>
<td>True/False</td>
<td>is_success:False</td>
</tr>
</tbody>
</table>
##### JSON Result
```json
{
"kBytes": 2521.025390625,
"kBytesIn": 2500.0,
"kBytesOut": 21.025390625,
"outboundKBytes": 21.025390625,
"impactedHostTotalKBytes": 2521.025390625,
"keyField": "messageId",
"count": 1,
"classificationId": 3200,
"classificationName": "Error",
"classificationTypeName": "Operations",
"commonEventName": "HTTP 504 : Server Error - Gateway Time-Out",
"commonEventId": 8938,
"direction": 3,
"directionName": "External",
"entityId": 2,
"entityName": "EchoTestEntity",
"rootEntityId": 2,
"rootEntityName": "EchoTestEntity",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHost": "192.0.2.11",
"impactedInterface": "0",
"impactedIp": "192.0.2.11",
"impactedPort": 80,
"impactedZoneName": "External",
"indexedDate": 1629460029041,
"insertedDate": 1629123439811,
"logDate": 1629134239789,
"logMessage": "CISCONGFW EVENT Ev_Id=436 Ev",
"logSourceHost": "EchoTestHost",
"logSourceHostId": 2,
"logSourceHostName": "EchoTestHost",
"logSourceId": 15,
"logSourceName": "Echo_2_1000107",
"logSourceType": 1000107,
"logSourceTypeName": "Flat File - Cisco NGFW",
"messageId": "23066",
"messageTypeEnum": 2,
"mpeRuleId": 1176829,
"mpeRuleName": "HTTP 504 : Server Error : Gateway Timeout",
"normalDate": 1629123439791,
"normalDateMin": 1629123439791,
"normalMsgDateMax": 1629123439791,
"normalDateHour": 1629122400000,
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHost": "192.0.2.12",
"originInterface": "0",
"originIp": "192.0.2.12",
"originPort": 14042,
"originZone": 3,
"originZoneName": "External",
"priority": 38,
"process": "5",
"processId": 300003,
"protocolId": 6,
"protocolName": "TCP",
"serviceId": 1388,
"serviceName": "HTTP",
"portProtocol": "HTTP",
"session": "436",
"severity": "57",
"url": "http://www.google.com/",
"vendorMessageId": "504",
"version": "2",
"status": "504"
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나의 항목에 대한 데이터를 찾은 경우 (is_success=true): 'LogRhythm: {entity.identifier}에서 다음 항목의 이벤트를 가져왔습니다.' 하나의 항목에 실패한 경우 (is_success=true): '작업이 LogRhythm: {entity.identifier}에서 다음 항목의 이벤트를 가져올 수 없습니다.' 모든 항목에 대해 실패한 경우 (is_success=false): '작업이 LogRhythm에서 제공된 항목의 이벤트를 가져올 수 없습니다.' 하나 이상의 항목에 데이터가 없는 경우 (is_success=true): 'LogRhythm: {entity.identifier}에서 다음 항목에 대한 이벤트가 없습니다.' 모든 항목에 데이터가 없는 경우 (is_success=false): 'LogRhythm에서 제공된 항목에 대한 이벤트를 찾을 수 없습니다.' 하나의 항목에 제한 시간이 초과된 경우 (is_success=true): '실행 중에 작업 제한 시간이 초과되었습니다. 대기 중인 항목: {데이터를 반환하지 않은 항목}. IDE에서 작업 제한 시간을 늘리세요.' 비동기 메시지: '다음 항목({entity.identifier})의 이벤트 정보를 기다리는 중' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''엔티티 이벤트 나열' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}''.format(error.Stacktrace)' 모든 항목의 제한 시간이 초과된 경우 (is_success=false): ''엔티티 이벤트 나열' 작업 실행 중에 오류가 발생했습니다. 이유: 실행 중에 작업 제한 시간이 초과되었습니다. 제공된 항목에 대한 이벤트 정보가 검색되지 않았습니다. IDE에서 작업 제한 시간을 늘리세요.' '기간' 매개변수가 '맞춤'으로 설정되어 있는데 '시작 시간' 매개변수가 비어 있는 경우(실패): '' 작업을 실행하는 동안 오류가 발생했습니다. 이유: '기간' 매개변수에서 '맞춤'을 선택한 경우 '시작 시간'을 제공해야 합니다.' '시작 시간' 매개변수 값이 '종료 시간' 매개변수 값보다 큰 경우 (실패): '' 작업 실행 중에 오류가 발생했습니다. 이유: '종료 시간'은 '시작 시간'보다 늦어야 합니다. 반환할 최대 항목이 0보다 크지 않은 경우: '작업 실행 중 오류가 발생했습니다. 이유: '반환할 최대 이벤트 수'가 0보다 커야 합니다. |
일반 |
| 케이스 월 테이블 | 테이블 이름: {entity.identifier} 테이블 열:
참고: 값이 있는 레코드가 하나 이상 있는 경우 이 열이 표시됩니다. |
항목 |
커넥터
LogRhythm Cases 커넥터
설명
LogRhythm에서 케이스를 가져옵니다.
커넥터 매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 해당 사항 없음 | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 이벤트 필드 이름 | 문자열 | event_type | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API 루트 | 문자열 | https://{IP}:8501 | 예 | LogRhythm 인스턴스의 API 루트입니다. |
| API 토큰 | 비밀번호 | 해당 사항 없음 | 예 | LogRhythm API 토큰입니다. |
| 최대 이전 일수 | 정수 | 1 | 예 | 케이스를 가져올 위치의 일수입니다. |
| 가져올 가장 낮은 우선순위 | 정수 | 해당 사항 없음 | 아니요 | 케이스를 가져오는 데 사용해야 하는 가장 낮은 우선순위입니다. 아무것도 제공하지 않으면 모든 우선순위의 케이스가 수집됩니다. 가능한 값: 1~5 |
| 알림 수 제한 | 정수 | 10 | 예 | 커넥터 반복당 처리할 케이스 수입니다. |
| CA 인증서 파일 | 문자열 | 해당 사항 없음 | 아니요 | Base64로 인코딩된 CA 인증서 파일입니다. |
| 허용 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 허용 목록이 차단 목록으로 사용됩니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 LogRhythm 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
LogRhythm - Rest API Alarms Connector
설명
Rest API를 사용하여 LogRhythm에서 알람을 가져옵니다.
Google SecOps에서 LogRhythm - Rest API Alarms Connector 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 제품 이름 | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 이벤트 필드 이름 | 문자열 | classificationTypeName | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API 루트 | 문자열 | https://{IP}:8501 | 예 | LogRhythm 인스턴스의 API 루트입니다. |
| API 토큰 | 비밀번호 | 해당 사항 없음 | 예 | LogRhythm API 토큰입니다. |
| 최대 이전 시간 | 정수 | 1 | 아니요 | 알림을 가져올 위치로부터의 시간입니다. |
| 가져올 최대 알람 수 | 정수 | 10 | 아니요 | 커넥터 반복당 처리할 알림 수입니다. |
| 허용 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 허용 목록이 차단 목록으로 사용됩니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 LogRhythm 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
작업
동기화 케이스 댓글
설명
이 작업은 LogRhythm 케이스와 Google SecOps 케이스의 댓글을 동기화합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https://{IP}:8501 | 예 | LogRhythm 인스턴스의 API 루트입니다. |
| API 토큰 | 비밀번호 | 해당 사항 없음 | 예 | LogRhythm API 토큰입니다. |
| CA 인증서 파일 | 문자열 | 해당 사항 없음 | 아니요 | Base64로 인코딩된 CA 인증서 파일입니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 LogRhythm 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
Sync Closed Cases(종료된 케이스 동기화)
설명
이 작업은 종료된 LogRhythm 케이스와 Google SecOps 알림을 동기화합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https://{IP}:8501 | 예 | LogRhythm 인스턴스의 API 루트입니다. |
| API 토큰 | 비밀번호 | 해당 사항 없음 | 예 | LogRhythm API 토큰입니다. |
| CA 인증서 파일 | 문자열 | 해당 사항 없음 | 아니요 | Base64로 인코딩된 CA 인증서 파일입니다. |
| 최대 이전 시간 | 정수 | 24 | 아니요 | 상태를 동기화할 시간을 뒤로 지정합니다(시간). |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 LogRhythm 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
알람 댓글 동기화
설명
이 작업은 LogRhythm 알람과 Google SecOps 케이스의 댓글을 동기화합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https://{IP}:8501 | 예 | LogRhythm 인스턴스의 API 루트입니다. |
| API 토큰 | 비밀번호 | 해당 사항 없음 | 예 | LogRhythm API 토큰입니다. |
| CA 인증서 파일 | 문자열 | 해당 사항 없음 | 아니요 | Base64로 인코딩된 CA 인증서 파일입니다. |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 LogRhythm 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
종료된 알람 동기화
설명
이 작업은 종료된 LogRhythm 알람과 Google SecOps 알림을 동기화합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https://{IP}:8501 | 예 | LogRhythm 인스턴스의 API 루트입니다. |
| API 토큰 | 비밀번호 | 해당 사항 없음 | 예 | LogRhythm API 토큰입니다. |
| CA 인증서 파일 | 문자열 | 해당 사항 없음 | 아니요 | Base64로 인코딩된 CA 인증서 파일입니다. |
| 최대 이전 시간 | 정수 | 24 | 아니요 | 상태를 동기화할 시간을 뒤로 지정합니다(시간). |
| SSL 확인 | 체크박스 | 선택 | 예 | 사용 설정하면 LogRhythm 서버 연결에 사용되는 SSL 인증서가 유효한지 확인합니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.