LogRhythm
Versão de integração: 17.0
A partir da versão 10 desta integração, vai deixar de existir um Alarms Connector. Este conetor está descontinuado, uma vez que a API SOAP está descontinuada do lado do LogRhythm. Agora, toda a integração está a usar a API REST, que foi introduzida na versão 7.9 do LogRhythm.
Para mais informações, consulte o artigo API SOAP (LogRhythm 7.x.x).
Além disso, a integração é atualizada para a versão 3 do Python, pelo que a manutenção deste conector (da versão 9) com a versão mais recente da integração (versão 10) não é suportada e causa comportamentos inesperados.
Siga o fluxo recomendado para esta atualização:
Antes de atualizar a integração para a versão 10, migre todos os "LogRhythm Alarms Connector" para o "LogRhythm - Rest API Alarms Connector" usando a versão 9 da integração.
Atualize a integração para a versão 10.
Configure a integração do LogRhythm no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{IP}:8501 | Sim | Raiz da API da instância do LogRhythm. |
| Chave da API | Palavra-passe | N/A | Não | Chave da API da instância do LogRhythm. |
| Ficheiro de certificado da AC | String | N/A | Não | Ficheiro de certificado da AC codificado em Base64. |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Se estiver ativado, verifique se o certificado SSL para a ligação ao servidor LogRhythm é válido. |
Ações
Tchim-tchim
Descrição
Teste a conetividade ao LogRhythm com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação ao servidor LogRhythm estabelecida com êxito com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: "Não foi possível estabelecer ligação ao servidor LogRhythm! O erro é {0}".format(exception.stacktrace) |
Geral |
Enriquecer entidades
Descrição
Enriqueça as entidades com informações do LogRhythm. Entidades suportadas: nome de anfitrião, endereço IP.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Crie estatísticas | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação cria uma estatística com todas as informações obtidas sobre a entidade. |
É apresentado em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
{
"id": 2,
"entity": {
"id": 2,
"name": "EchoTestEntity"
},
"name": "EchoTestHost",
"shortDesc": "LogRhythm ECHO",
"riskLevel": "None",
"threatLevel": "None",
"threatLevelComments": "",
"recordStatusName": "Active",
"hostZone": "Internal",
"location": {
"id": -1
},
"os": "Windows",
"osVersion": "Microsoft Windows NT 6.2.9200.0",
"useEventlogCredentials": false,
"osType": "Server",
"dateUpdated": "2021-04-14T09:18:17.677Z",
"hostRoles": [],
"hostIdentifiers": [
{
"type": "IPAddress",
"value": "10.1.2.50",
"dateAssigned": "2021-04-14T09:17:31Z"
},
{
"type": "WindowsName",
"value": "EchoTestHost",
"dateAssigned": "2021-04-14T09:17:31Z"
}
]
}
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| descrição | Quando estiver disponível em JSON |
| risk_level | Quando estiver disponível em JSON |
| threat_level | Quando estiver disponível em JSON |
| estado | Quando estiver disponível em JSON |
| host_zone | Quando estiver disponível em JSON |
| os | Quando estiver disponível em JSON |
| escrever | Quando estiver disponível em JSON |
| ips | Quando estiver disponível em JSON |
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: If data is available for one entity (is_success=true): "Successfully enriched the following entities using information from LogRhythm: {entity.identifier}". Se os dados não estiverem disponíveis para uma entidade (is_success=true): "Não foi possível enriquecer as seguintes entidades com informações do LogRhythm: {entity.identifier}". Se os dados não estiverem disponíveis para todas as entidades (is_success=false): "Nenhuma das entidades fornecidas foi enriquecida." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela de parede da caixa | Título da tabela: {entity.identifier} | Entidade |
Atualizar alarme
Descrição
Atualize um alarme no LogRhythm.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do alarme | String | N/A | Sim | Especifique o ID do alarme que tem de ser atualizado no LogRhythm. |
| Estado | LDD | Selecione uma opção Valores possíveis:
|
Não | Especifique o estado do alarme. |
| Pontuação de risco | Número inteiro | N/A | Não | Especifique uma nova pontuação de risco para o alarme. Máximo: 100 |
É apresentado em
Esta ação é executada nas seguintes entidades:
- URL
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o código de estado 200 for comunicado (is_success=true): "Successfully updated alarm with ID {ID} in LogRhythm." (Alarme atualizado com êxito com o ID {ID} no LogRhythm.) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Atualizar alarme". Motivo: {0}''.format(error.Stacktrace) Se o código de estado não for 200: "Erro ao executar a ação "Atualizar alarme". Motivo: {0}''.format(responseMessage)" Se o parâmetro "Status" estiver definido como "Selecionar uma" e nenhum dos outros valores for fornecido:"Erro ao executar a ação "Atualizar alarme". Motivo: pelo menos um dos parâmetros de ação deve ter um valor fornecido." |
Geral |
Obter detalhes do alarme
Descrição
Obtenha detalhes de alarmes no LogRhythm. Esta ação permite-lhe obter detalhes dos eventos do LogRhythm Advanced Intelligence Engine (AIE) e carregar estes dados para o Google SecOps.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| IDs de alarmes | CSV | N/A | Sim | Especifique uma lista de IDs de alarmes separados por vírgulas para os quais temos de obter detalhes. |
| Máximo de eventos a obter | Número inteiro | 50 | Não | Especifique o número de eventos a devolver. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
[
{
"alarmRuleID": 98,
"alarmId": 18755,
"personId": -100,
"alarmDate": "2021-08-17T13:36:39.78",
"alarmStatus": 0,
"alarmStatusName": "New",
"entityId": 2,
"entityName": "EchoTestEntity",
"alarmRuleName": "LogRhythm Agent Heartbeat Missed",
"lastUpdatedID": -100,
"lastUpdatedName": "LogRhythm Administrator",
"dateInserted": "2021-08-17T13:36:39.807",
"dateUpdated": "2021-08-17T13:36:39.86",
"associatedCases": [],
"lastPersonID": null,
"eventCount": 1,
"eventDateFirst": "2021-08-17T13:36:37.057",
"eventDateLast": "2021-08-17T13:36:37.057",
"rbpMax": 39,
"rbpAvg": 39,
"smartResponseActions": null,
"alarmDataCached": "N",
"alarmEventsDetails": [
{
"account": "admin5",
"action": "",
"amount": null,
"bytesIn": null,
"bytesOut": null,
"classificationId": 2600,
"classificationName": "Compromise",
"classificationTypeName": "Security",
"command": "",
"commonEventId": 1031412,
"cve": "",
"commonEventName": "AIE: CSC: Disabled Account Auth Success",
"count": 1,
"directionId": 0,
"directionName": "Unknown",
"domain": "",
"duration": 0,
"entityId": -1000001,
"entityName": "",
"group": "",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHostId": -1,
"impactedHostName": "",
"impactedInterface": "",
"impactedIP": null,
"impactedLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"impactedMAC": "",
"impactedName": "",
"impactedNATIP": "",
"impactedNATPort": null,
"impactedNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"impactedPort": -1,
"impactedZone": "Unknown",
"itemsPacketsIn": 0,
"itemsPacketsOut": 0,
"logDate": "2021-08-16T09:51:16.993",
"login": "admin5",
"logMessage": "",
"logSourceHostId": -1000001,
"logSourceHostName": "AI Engine Server",
"logSourceName": "AI Engine",
"logSourceTypeName": "LogRhythm AI Engine",
"messageId": 173885,
"mpeRuleId": -1,
"mpeRuleName": "",
"normalDateMax": "0001-01-01T00:00:00",
"objectName": "",
"objectType": "",
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHostName": "",
"originInterface": "",
"originIP": null,
"originLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"originMAC": "",
"originName": "",
"originNATIP": "",
"originNATPort": null,
"originNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"originPort": -1,
"originZone": "Unknown",
"parentProcessId": "",
"parentProcessName": "",
"parentProcessPath": "",
"policy": "",
"priority": 91,
"process": "",
"processId": -1,
"protocolId": -1,
"protocolName": "",
"quantity": 0,
"rate": 0,
"reason": "",
"recipient": "",
"result": "",
"responseCode": "",
"sender": "",
"session": "",
"recipientIdentityId": null,
"recipientIdentityName": ""
}
]
}
]
Enriquecimento de entidades
N/A
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o código de estado 200 for comunicado para uma entidade (is_success=true): "Successfully retrieved details for the following alarms in LogRhythm: {IDs}" (Detalhes obtidos com êxito para os seguintes alarmes no LogRhythm: {IDs}) Se não for encontrado nenhum alarme (is_success=true):"Não foram encontrados os seguintes alarmes no LogRhythm: {IDs}" Se não forem encontrados todos os alarmes (is_success=false): "Nenhum dos alarmes fornecidos foi encontrado no LogRhythm." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Obter detalhes do alarme". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela de parede da caixa | Nome da tabela: eventos do alarme {ID} Colunas da tabela:
|
Geral |
Adicionar comentário ao alarme
Descrição
Adicione um comentário ao alarme no LogRhythm.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do alarme | String | N/A | Sim | Especifique o ID do alarme ao qual tem de adicionar um comentário no LogRhythm. |
| Comentário | String | N/A | Sim | Especifique um comentário que tem de ser adicionado ao alarme. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o código de estado 200 for comunicado (is_success=true): "Successfully added comment to the alarm with ID {ID} in LogRhythm." (Comentário adicionado com êxito ao alarme com o ID {ID} no LogRhythm.) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Adicionar comentário ao alarme". Motivo: {0}''.format(error.Stacktrace) Se o código de estado não for 200: "Erro ao executar a ação "Adicionar comentário ao alarme". Motivo: {0}''.format(responseMessage) |
Geral |
Apresentar provas do registo
Descrição
Liste as provas do caso no LogRhythm.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do caso | String | N/A | Sim | Especifique o ID do registo para o qual quer devolver uma lista de provas. |
| Filtro de estado | CSV | N/A | Não | Especifique uma lista de filtros de estado separados por vírgulas para as provas. Valores possíveis: pendente, concluído, falhou. Se não for fornecido nada, a ação devolve provas de todos os estados. |
| Tipo de filtro | CSV | N/A | Não | Especifique uma lista separada por vírgulas de filtros de tipo para as provas. Valores possíveis: alarm, userEvents, log, note, file. Se não for especificado nada, a ação devolve provas de todos os tipos. |
| Max Evidences To Return | Número inteiro | 50 | Não | Especifique o número de provas a devolver. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
[
{
"number": 4,
"dateCreated": "2021-07-31T11:00:40.2433333Z",
"dateUpdated": "2021-07-31T11:00:40.2433333Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "test",
"pinned": false,
"datePinned": null,
"file": {
"name": "UploadCustomListTemplate .csv",
"size": 161
}
}
]
Enriquecimento de entidades
N/A
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o código de estado 200 for comunicado (is_success=true): "Successfully listed evidence related to the case with ID {ID} in LogRhythm." (Foram listadas com êxito provas relacionadas com o registo com o ID {ID} no LogRhythm.) Se não estiverem disponíveis provas (is_success=false): "Não foram encontradas provas para o registo com o ID {ID} no LogRhythm." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "List Case Evidence". Motivo: {0}''.format(error.Stacktrace) Se for comunicado o código de estado 404: "Erro ao executar a ação "List Case Evidence". Motivo: {0}''.format(message) Se for fornecido um valor inválido para o parâmetro "Status": "Erro ao executar a ação "List Case Evidence". Motivo: valores inválidos fornecidos no parâmetro "Filtro de estado": {invalid value}. Valores possíveis: pendente, concluído, falhou. Se for fornecido um valor inválido para o parâmetro "Type": "Error executing action "List Case Evidence". Motivo: valores inválidos fornecidos no parâmetro "Type": {invalid value}. Valores possíveis: alarm, userEvents, log, note, file. |
Geral |
| Case Wall | Provas do registo {case id} Tipo Estado Contexto |
Adicionar alarme ao registo
Descrição
Adicione um alarme ao registo no LogRhythm.
Parâmetro
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do caso | String | N/A | Sim | Especifique o ID do registo ao qual quer adicionar alarmes. |
| IDs de alarmes | CSV | N/A | Sim | Especifique uma lista separada por vírgulas de alarmes que têm de ser adicionados ao registo. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
[
{
"number": 23,
"dateCreated": "2021-08-11T09:02:17.0066667Z",
"dateUpdated": "2021-08-11T09:02:17.0066667Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15298,
"alarmDate": "2021-07-30T02:07:29.813+03:00",
"alarmRuleId": 1000,
"alarmRuleName": "AIE: ISO-27001: File Monitoring Event-File Changes",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": -100,
"entityName": "Global Entity",
"riskBasedPriorityMax": 1
}
},
{
"number": 24,
"dateCreated": "2021-08-11T09:03:18.65Z",
"dateUpdated": "2021-08-11T09:03:18.65Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15297,
"alarmDate": "2021-07-30T02:07:28.353+03:00",
"alarmRuleId": 1419,
"alarmRuleName": "AIE: CCF: FIM General Activity",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": 1,
"entityName": "Primary Site",
"riskBasedPriorityMax": 0
}
}
]
Enriquecimento de entidades
N/A
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o código de estado 201 for comunicado (is_success=true): "Successfully added alarm evidence related to the case with ID {ID} in LogRhythm." (Foram adicionadas com êxito provas de alarme relacionadas com o registo com o ID {ID} no LogRhythm.) Se for comunicado o código de estado 200 (is_success=true): "Todas as provas de alarme fornecidas já faziam parte do registo com o ID {ID} no LogRhythm." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Adicionar alarme ao registo". Motivo: {0}''.format(error.Stacktrace) Se for comunicado o código de estado 404: "Erro ao executar a ação "Adicionar alarme ao registo". Motivo: {0}''.format(message or details) |
Geral |
Anexe um ficheiro ao registo
Descrição
Anexe um ficheiro ao registo no LogRhythm.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do caso | String | N/A | Sim | Especifique o ID do registo ao qual quer anexar ficheiros. |
| Caminhos de ficheiros | CSV | N/A | Sim | Especifique uma lista de caminhos de ficheiros absolutos separados por vírgulas. |
| Nota | String | N/A | Não | Especifique uma nota que deve ser adicionada ao registo juntamente com o ficheiro. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
[
{
"number": 26,
"dateCreated": "2021-08-11T09:17:33.91Z",
"dateUpdated": "2021-08-11T09:17:33.91Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"file": {
"name": "Get Deep Visibility Query Result_JsonResultSample.json",
"size": 4979
}
}
]
Enriquecimento de entidades
N/A
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se concluído para um ficheiro caminho (is_success=true): "Os seguintes ficheiros foram adicionados com êxito ao registo com o ID {ID} no LogRhythm." Se falhar para um caminho de ficheiro (is_success= true): "Não foi possível adicionar os seguintes ficheiros ao registo com o ID {ID} no LogRhythm: {failed file paths}". Se falhar para todos os caminhos de ficheiros (is_success=false): "Não foram adicionados ficheiros ao registo com o ID {ID} no LogRhythm." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Anexar ficheiro ao registo". Motivo: {0}''.format(error.Stacktrace) Se for comunicado o código de estado 404: "Erro ao executar a ação "Anexar ficheiro ao registo". Motivo: {0}''.format(message) Se ocorrer um limite de tempo: "Erro ao executar a ação "Anexar ficheiro ao registo". Motivo: a ação atingiu o limite de tempo. Os seguintes ficheiros ainda estão a ser processados: {pending files}. Aumente o limite de tempo no IDE. Nota: a adição do mesmo ficheiro cria uma entrada separada no LogRhythm. |
Geral |
Adicionar nota ao registo
Descrição
Adicione uma nota ao registo no LogRhythm.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do caso | String | N/A | Sim | Especifique o ID do registo ao qual quer adicionar uma nota. |
| Nota | String | N/A | Sim | Especifique uma nota que deve ser adicionada ao registo. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
{
"number": 29,
"dateCreated": "2021-08-11T12:21:11.5547306Z",
"dateUpdated": "2021-08-11T12:21:11.5547306Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "note",
"status": "completed",
"statusMessage": null,
"text": "asdasd",
"pinned": false,
"datePinned": null
}
Enriquecimento de entidades
N/A
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for comunicado o código de estado 201 (is_success=true): "Foi adicionada uma nota com êxito ao registo com o ID {ID} no LogRhythm." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Adicionar nota ao registo". Motivo: {0}''.format(error.Stacktrace) Se for comunicado o código de estado 404: "Erro ao executar a ação "Adicionar nota ao registo". Motivo: {0}''.format(message) |
Geral |
Criar registo
Descrição
Crie um registo no LogRhythm.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome | String | N/A | Sim | Especifique o nome do registo. |
| Prioridade | LDD | 1 Valores possíveis:
|
Sim | Especifique a prioridade do registo. |
| Data de vencimento | String | N/A | Não | Especifique a data de vencimento do registo. Formato: ISO 8601 Exemplo: 2021-04-23T12:38Z |
| Descrição | String | N/A | Não | Especifique uma descrição para o registo. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:37:42.8942168Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
Enriquecimento de entidades
N/A
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for comunicado o código de estado 201 (is_success=true): "Successfully created case {number} in LogRhythm." (Registo {number} criado com êxito no LogRhythm.) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Criar registo". Motivo: {0}''.format(error.Stacktrace) Se for comunicado o código de estado 404: "Erro ao executar a ação "Criar registo". Motivo: {0}''.format(message) |
Geral |
Atualizar registo
Descrição
Atualize um registo no LogRhythm.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do caso | String | N/A | Sim | Especifique o ID do registo que tem de ser atualizado. |
| Nome | String | N/A | Não | Especifique um novo nome para o registo. |
| Prioridade | LDD | Selecione uma opção Valores possíveis:
|
Não | Especifique uma nova prioridade para o registo. |
| Data de vencimento | String | N/A | Não | Especifique uma nova data de vencimento para o registo. Formato: ISO 8601 Exemplo: 2021-04-23T12:38Z |
| Descrição | String | N/A | Não | Especifique uma nova descrição para o registo. |
| Resolução | String | N/A | Não | Especifique como o registo é resolvido. |
| Estado | LDD | Selecione uma opção Valores possíveis:
|
Não | Especifique o novo estado do registo. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:48:52.9765558Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
Enriquecimento de entidades
N/A
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o código de estado 201 for comunicado (is_success=true): "Successfully updated case {ID} in LogRhythm." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Atualizar registo". Motivo: {0}''.format(error.Stacktrace)" Se for comunicado o código de estado 404: "Erro ao executar a ação "Atualizar registo". Motivo: {0}''.format(message) Se o código de estado for 400: "Error executing action "Update Case". Motivo: {0}''.format(validationErrors)" Se o parâmetro "Estado" ou "Prioridade" estiver definido como "Selecionar um" e nenhum dos outros valores for fornecido: "Erro ao executar a ação "Atualizar registo". Motivo: pelo menos um dos parâmetros de ação deve ter um valor fornecido." |
Geral |
Transfira ficheiros de registos
Descrição
Transfira ficheiros relacionados com o registo no LogRhythm.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do caso | String | N/A | Sim | Especifique o ID do registo do qual quer transferir ficheiros. |
| Caminho da pasta de transferência | String | N/A | Sim | Especifique o caminho para a pasta onde quer armazenar os ficheiros de registo. |
| Substituir | Booleano | Falso | Sim | Se estiver ativada, a ação substitui o ficheiro com o mesmo nome. |
É apresentado em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
{"absolute_file_paths": ["file_path_1","file_path_2"]}
``` ##### Entity
Enrichment
N/A
##### Insights
N/A
##### Case Wall
<table>
<thead>
<tr>
<th><strong>Result type</strong></th>
<th><strong>Value/Description</strong></th>
<th><strong>Type</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Output message*</td>
<td><p><strong>The action should not fail nor stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If the</em> <strong></strong> <em>200 status code for all cases is reported (is_success=true):</em> "Successfully downloaded files related to case with ID {ID} in LogRhythm."</p><p></p><p><em>If no files are found (is_success=true): "</em>No related files were found for the case with ID {ID} in LogRhythm."</p><p></p><p><strong>The action should fail and stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If a</em> <strong></strong> <em>fatal error, like wrong credentials, no connection to the server, other is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(error.Stacktrace)"</p><p></p><p><em>If the 404 status code is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(message)"</p><p></p><p><em>If a file with the same name already exists, but "Overwrite" is set to false:</em> "Error executing action "Download Case Files". Reason: files with path {0} already exist. Please delete the files or set "Overwrite" to true."</p></td>
<td>General</td>
</tr>
</tbody>
</table>
### List Entity Events
#### Description
List events related to entities in LogRhythm. Supported entities: Hostname, IP
Address, User, CVE, Hash, URL.
Note: This action runs as async. Adjust the script timeout value in the
Google SecOps IDE for the action as needed.
#### Parameters
<table>
<thead>
<tr>
<th><strong>Parameter Display Name</strong></th>
<th><strong>Type</strong></th>
<th><strong>Default Value</strong></th>
<th><strong>Is Mandatory</strong></th>
<th><strong>Description</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Time Frame</td>
<td>DDL</td>
<td><p>Last Hour</p><p><strong></strong></p><p>Possible Values: </p><ul><li>Last Hour</li><li>Last 6 Hours</li><li>Last 24 Hours</li><li>Last Week</li><li>Last Month</li><li>Custom</li></ul></td>
<td>No</td>
<td>Name of the watchlist from which you want to remove values.</td>
</tr>
<tr>
<td>Start Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the start time for the results.</p><p></p><p>This parameter is mandatory, if "Custom" is selected for the "Time Frame" parameter. </p><p></p><p>Format: ISO 8601</p><p></p><p>Example: 2021-04-23T12:38Z</p></td>
</tr>
<tr>
<td>End Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the end time for the results. </p><p></p><p>If nothing is provided and "Custom" is selected for the "Time Frame" parameter then this parameter uses current time.</p><p></p><p>Format: ISO 8601</p></td>
</tr>
<tr>
<td>Sort Order</td>
<td>DDL</td>
<td><p>Datetime ASC <strong></strong> </p><p></p><p>Possible values:</p><ul><li>Datetime ASC</li><li>Datetime DESC</li><li>Risk ASC</li><li>RiskDESC</li></ul></td>
<td>No</td>
<td>Specify the sorting logic for the query.</td>
</tr>
<tr>
<td>Max Events To Return</td>
<td>Integer</td>
<td>50</td>
<td>No</td>
<td>Specify the number of events to return.</td>
</tr>
</tbody>
</table>
#### Run On
This action runs on the following entities:
* Hostname
* IP Address
* User
* CVE
* Hash
* URL
#### Action Results
##### Script Result
<table>
<thead>
<tr>
<th><strong>Script Result Name</strong></th>
<th><strong>Value Options</strong></th>
<th><strong>Example</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>is_success</td>
<td>True/False</td>
<td>is_success:False</td>
</tr>
</tbody>
</table>
##### JSON Result
```json
{
"kBytes": 2521.025390625,
"kBytesIn": 2500.0,
"kBytesOut": 21.025390625,
"outboundKBytes": 21.025390625,
"impactedHostTotalKBytes": 2521.025390625,
"keyField": "messageId",
"count": 1,
"classificationId": 3200,
"classificationName": "Error",
"classificationTypeName": "Operations",
"commonEventName": "HTTP 504 : Server Error - Gateway Time-Out",
"commonEventId": 8938,
"direction": 3,
"directionName": "External",
"entityId": 2,
"entityName": "EchoTestEntity",
"rootEntityId": 2,
"rootEntityName": "EchoTestEntity",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHost": "192.0.2.11",
"impactedInterface": "0",
"impactedIp": "192.0.2.11",
"impactedPort": 80,
"impactedZoneName": "External",
"indexedDate": 1629460029041,
"insertedDate": 1629123439811,
"logDate": 1629134239789,
"logMessage": "CISCONGFW EVENT Ev_Id=436 Ev",
"logSourceHost": "EchoTestHost",
"logSourceHostId": 2,
"logSourceHostName": "EchoTestHost",
"logSourceId": 15,
"logSourceName": "Echo_2_1000107",
"logSourceType": 1000107,
"logSourceTypeName": "Flat File - Cisco NGFW",
"messageId": "23066",
"messageTypeEnum": 2,
"mpeRuleId": 1176829,
"mpeRuleName": "HTTP 504 : Server Error : Gateway Timeout",
"normalDate": 1629123439791,
"normalDateMin": 1629123439791,
"normalMsgDateMax": 1629123439791,
"normalDateHour": 1629122400000,
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHost": "192.0.2.12",
"originInterface": "0",
"originIp": "192.0.2.12",
"originPort": 14042,
"originZone": 3,
"originZoneName": "External",
"priority": 38,
"process": "5",
"processId": 300003,
"protocolId": 6,
"protocolName": "TCP",
"serviceId": 1388,
"serviceName": "HTTP",
"portProtocol": "HTTP",
"session": "436",
"severity": "57",
"url": "http://www.google.com/",
"vendorMessageId": "504",
"version": "2",
"status": "504"
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se forem encontrados dados para uma entidade (is_success=true): "Successfully retrieved events for the following entities in LogRhythm: {entity.identifier}." (Eventos obtidos com êxito para as seguintes entidades no LogRhythm: {entity.identifier}.) Se falhar para uma entidade (is_success=true): "Não foi possível obter eventos para as seguintes entidades no LogRhythm: {entity.identifier}." Se falhar para todas as entidades (is_success=false): "Não foi possível obter eventos para as entidades fornecidas no LogRhythm." If no data for at least one entity (is_success=true): "No events were found for the following entities in LogRhythm: {entity.identifier}." Se não existirem dados para todas as entidades (is_success=false): "Não foram encontrados eventos para as entidades fornecidas no LogRhythm." Se ocorrer um limite de tempo para uma entidade (is_success=true): "A ação atingiu um limite de tempo durante a execução. Entidades pendentes: {entities that didn't return data}. Aumente o limite de tempo da ação no IDE." Mensagem assíncrona: "A aguardar informações de eventos para as seguintes entidades: {entity.identifier}" A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "List Entity Events". Motivo: {0}''.format(error.Stacktrace)" Se ocorrer um limite de tempo para todas as entidades (is_success=false): "Erro ao executar a ação "List Entity Events". Motivo: a ação excedeu o limite de tempo durante a execução. Não foram obtidas informações sobre os eventos para as entidades fornecidas. Aumente o limite de tempo da ação no IDE." Se o parâmetro "Hora de início" estiver vazio, quando o parâmetro "Intervalo de tempo" estiver definido como "Personalizado" (falha): "Erro ao executar a ação "". Motivo: deve indicar a "Hora de início" quando selecionar "Personalizado" no parâmetro "Intervalo de tempo"." Se o parâmetro "Hora de início" tiver um valor superior ao do parâmetro "Hora de fim" (falha): "Erro ao executar a ação "". Motivo: a "Hora de fim" deve ser posterior à "Hora de início". Se o número máximo de itens a devolver não for superior a 0: "Erro ao executar a ação "". Motivo: "Máximo de eventos a devolver" deve ser superior a 0. |
Geral |
| Tabela de parede da caixa | Nome da tabela: {entity.identifier} Colunas da tabela:
Nota: esta coluna fica visível se existir, pelo menos, um registo com valor. |
Entidade |
Conetores
Conetor LogRhythm Cases
Descrição
Extrair registos do LogRhythm.
Parâmetros do conetor
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | N/A | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | event_type | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{IP}:8501 | Sim | Raiz da API da instância do LogRhythm. |
| Chave da API | Palavra-passe | N/A | Sim | Chave da API do LogRhythm. |
| Máximo de dias para trás | Número inteiro | 1 | Sim | Número de dias a partir dos quais obter registos. |
| Prioridade mais baixa para obter | Número inteiro | N/A | Não | A prioridade mais baixa que tem de ser usada para obter registos. Se não for fornecido nada, são carregados os registos com todas as prioridades. Valores possíveis: de 1 a 5. |
| Limite da quantidade de alertas | Número inteiro | 10 | Sim | Número de registos a processar por iteração de um conetor. |
| Ficheiro de certificado da AC | String | N/A | Não | Ficheiro de certificado da AC codificado em Base64. |
| Use a lista de autorizações como uma lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a lista de autorizações é usada como uma lista negra. |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Se estiver ativado, verifique se o certificado SSL para a ligação ao servidor LogRhythm é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras do conetor
Suporte de proxy
O conetor suporta proxy.
LogRhythm - Rest API Alarms Connector
Descrição
Extraia alarmes do LogRhythm através da API REST.
Configure o conetor de alarmes da API REST do LogRhythm no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | classificationTypeName | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{IP}:8501 | Sim | Raiz da API da instância do LogRhythm. |
| Chave da API | Palavra-passe | N/A | Sim | Chave da API do LogRhythm. |
| Máximo de horas para trás | Número inteiro | 1 | Não | Número de horas a partir das quais obter alertas. |
| Número máximo de alarmes a obter | Número inteiro | 10 | Não | Número de alertas a processar por iteração de conetor. |
| Use a lista de autorizações como uma lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a lista de autorizações é usada como uma lista negra. |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Se estiver ativado, verifique se o certificado SSL para a ligação ao servidor LogRhythm é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras do conetor
Suporte de proxy
O conetor suporta proxy.
Empregos
Sincronize comentários de registos
Descrição
Esta tarefa sincroniza os comentários nos registos de casos do LogRhythm e do Google SecOps.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{IP}:8501 | Sim | Raiz da API da instância do LogRhythm. |
| Chave da API | Palavra-passe | N/A | Sim | Chave da API do LogRhythm. |
| Ficheiro de certificado da AC | String | N/A | Não | Ficheiro de certificado da AC codificado em Base64. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativado, verifique se o certificado SSL para a ligação ao servidor LogRhythm é válido. |
Sincronize registos fechados
Descrição
Esta tarefa sincroniza os registos do LogRhythm fechados e os alertas do Google SecOps.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{IP}:8501 | Sim | Raiz da API da instância do LogRhythm. |
| Chave da API | Palavra-passe | N/A | Sim | Chave da API do LogRhythm. |
| Ficheiro de certificado da AC | String | N/A | Não | Ficheiro de certificado da AC codificado em Base64. |
| Máximo de horas para trás | Número inteiro | 24 | Não | Especifique o número de horas para trás para sincronizar os estados. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativado, verifique se o certificado SSL para a ligação ao servidor LogRhythm é válido. |
Sincronize comentários de alarmes
Descrição
Esta tarefa sincroniza os comentários nos alarmes do LogRhythm e nos registos do Google SecOps.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{IP}:8501 | Sim | Raiz da API da instância do LogRhythm. |
| Chave da API | Palavra-passe | N/A | Sim | Chave da API do LogRhythm. |
| Ficheiro de certificado da AC | String | N/A | Não | Ficheiro de certificado da AC codificado em Base64. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativado, verifique se o certificado SSL para a ligação ao servidor LogRhythm é válido. |
Sincronize alarmes fechados
Descrição
Esta tarefa sincroniza os alarmes fechados do LogRhythm e os alertas do Google SecOps.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{IP}:8501 | Sim | Raiz da API da instância do LogRhythm. |
| Chave da API | Palavra-passe | N/A | Sim | Chave da API do LogRhythm. |
| Ficheiro de certificado da AC | String | N/A | Não | Ficheiro de certificado da AC codificado em Base64. |
| Máximo de horas para trás | Número inteiro | 24 | Não | Especifique o número de horas para trás para sincronizar os estados. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativado, verifique se o certificado SSL para a ligação ao servidor LogRhythm é válido. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.