LogRhythm
Versão da integração: 17.0
A partir da versão 10 dessa integração, não haverá mais um conector de alarmes. Esse conector foi descontinuado porque a API SOAP foi descontinuada no LogRhythm. Agora, toda a integração usa a API REST, que foi introduzida na versão 7.9 do LogRhythm.
Para mais informações, consulte API SOAP (LogRhythm 7.x.x).
Além disso, a integração é atualizada para a versão 3 do Python. Portanto, não é possível manter esse conector (da versão 9) com a versão mais recente da integração (versão 10), o que causa comportamentos inesperados.
Siga o fluxo recomendado para esta atualização:
Antes de atualizar a integração para a versão 10, migre todos os "LogRhythm Alarms Connector" para "LogRhythm - Rest API Alarms Connector" usando a versão 9 da integração.
Atualize a integração para a versão 10.
Configurar a integração do LogRhythm no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{IP}:8501 | Sim | Raiz da API da instância do LogRhythm. |
| Token da API | Senha | N/A | Não | Token de API da instância do LogRhythm. |
| Arquivo de certificado de CA | String | N/A | Não | Arquivo de certificado de CA codificado em Base64. |
| Verificar SSL | Caixa de seleção | Desmarcado | Sim | Se ativada, verifique se o certificado SSL da conexão com o servidor LogRhythm é válido. |
Ações
Ping
Descrição
Teste a conectividade com o LogRhythm usando os parâmetros fornecidos na página de configuração da integração, na guia "Marketplace" do Google Security Operations.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a conexão for bem-sucedida: "Conexão bem-sucedida com o servidor LogRhythm usando os parâmetros fornecidos" A ação precisa falhar e interromper a execução de um playbook: Se não for possível: "Não foi possível se conectar ao servidor LogRhythm! O erro é {0}".format(exception.stacktrace) |
Geral |
Enriquecer entidades
Descrição
Aprimore entidades usando informações do LogRhythm. Entidades compatíveis: nome de host e endereço IP.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Criar insight | Caixa de seleção | Selecionado | Não | Se ativada, a ação cria um insight com todas as informações recuperadas sobre a entidade. |
Data de execução
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"id": 2,
"entity": {
"id": 2,
"name": "EchoTestEntity"
},
"name": "EchoTestHost",
"shortDesc": "LogRhythm ECHO",
"riskLevel": "None",
"threatLevel": "None",
"threatLevelComments": "",
"recordStatusName": "Active",
"hostZone": "Internal",
"location": {
"id": -1
},
"os": "Windows",
"osVersion": "Microsoft Windows NT 6.2.9200.0",
"useEventlogCredentials": false,
"osType": "Server",
"dateUpdated": "2021-04-14T09:18:17.677Z",
"hostRoles": [],
"hostIdentifiers": [
{
"type": "IPAddress",
"value": "10.1.2.50",
"dateAssigned": "2021-04-14T09:17:31Z"
},
{
"type": "WindowsName",
"value": "EchoTestHost",
"dateAssigned": "2021-04-14T09:17:31Z"
}
]
}
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| descrição | Quando disponível em JSON |
| risk_level | Quando disponível em JSON |
| threat_level | Quando disponível em JSON |
| status | Quando disponível em JSON |
| host_zone | Quando disponível em JSON |
| os | Quando disponível em JSON |
| tipo | Quando disponível em JSON |
| IPs | Quando disponível em JSON |
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: If data is available for one entity (is_success=true): "Successfully enriched the following entities using information from LogRhythm: {entity.identifier}". Se os dados não estiverem disponíveis para uma entidade (is_success=true): "Não foi possível enriquecer as seguintes entidades usando informações do LogRhythm: {entity.identifier}". Se os dados não estiverem disponíveis para todas as entidades (is_success=false):Nenhuma das entidades fornecidas foi enriquecida. A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela do painel de casos | Título da tabela: {entity.identifier} | Entidade |
Atualizar alarme
Descrição
Atualiza um alarme no LogRhythm.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do alarme | String | N/A | Sim | Especifique o ID do alerta que precisa ser atualizado no LogRhythm. |
| Status | DDL | Selecione uma opção. Valores possíveis:
|
Não | Especifique o status do alarme. |
| Pontuação de risco | Número inteiro | N/A | Não | Especifique uma nova pontuação de risco para o alarme. Máximo: 100 |
Data de execução
Essa ação é executada nas seguintes entidades:
- URL
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 200 for informado (is_success=true): "Alarme com ID {ID} atualizado com sucesso no LogRhythm". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Atualizar alarme". Motivo: {0}''.format(error.Stacktrace) Se o código de status não for 200: "Erro ao executar a ação "Atualizar alarme". Motivo: {0}''.format(responseMessage)" Se o parâmetro "Status" estiver definido como "Selecionar um" e nenhum dos outros valores for fornecido: "Erro ao executar a ação "Atualizar alarme". Motivo: pelo menos um dos parâmetros de ação precisa ter um valor informado." |
Geral |
Receber detalhes do alarme
Descrição
Receba detalhes do alarme no LogRhythm. Essa ação permite que você receba detalhes dos eventos do LogRhythm Advanced Intelligence Engine (AIE) e ingira esses dados no Google SecOps.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| IDs de alarmes | CSV | N/A | Sim | Especifique uma lista separada por vírgulas de IDs de alarmes para os quais precisamos recuperar detalhes. |
| Número máximo de eventos a serem buscados | Número inteiro | 50 | Não | Especifique o número de eventos a serem retornados. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
[
{
"alarmRuleID": 98,
"alarmId": 18755,
"personId": -100,
"alarmDate": "2021-08-17T13:36:39.78",
"alarmStatus": 0,
"alarmStatusName": "New",
"entityId": 2,
"entityName": "EchoTestEntity",
"alarmRuleName": "LogRhythm Agent Heartbeat Missed",
"lastUpdatedID": -100,
"lastUpdatedName": "LogRhythm Administrator",
"dateInserted": "2021-08-17T13:36:39.807",
"dateUpdated": "2021-08-17T13:36:39.86",
"associatedCases": [],
"lastPersonID": null,
"eventCount": 1,
"eventDateFirst": "2021-08-17T13:36:37.057",
"eventDateLast": "2021-08-17T13:36:37.057",
"rbpMax": 39,
"rbpAvg": 39,
"smartResponseActions": null,
"alarmDataCached": "N",
"alarmEventsDetails": [
{
"account": "admin5",
"action": "",
"amount": null,
"bytesIn": null,
"bytesOut": null,
"classificationId": 2600,
"classificationName": "Compromise",
"classificationTypeName": "Security",
"command": "",
"commonEventId": 1031412,
"cve": "",
"commonEventName": "AIE: CSC: Disabled Account Auth Success",
"count": 1,
"directionId": 0,
"directionName": "Unknown",
"domain": "",
"duration": 0,
"entityId": -1000001,
"entityName": "",
"group": "",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHostId": -1,
"impactedHostName": "",
"impactedInterface": "",
"impactedIP": null,
"impactedLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"impactedMAC": "",
"impactedName": "",
"impactedNATIP": "",
"impactedNATPort": null,
"impactedNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"impactedPort": -1,
"impactedZone": "Unknown",
"itemsPacketsIn": 0,
"itemsPacketsOut": 0,
"logDate": "2021-08-16T09:51:16.993",
"login": "admin5",
"logMessage": "",
"logSourceHostId": -1000001,
"logSourceHostName": "AI Engine Server",
"logSourceName": "AI Engine",
"logSourceTypeName": "LogRhythm AI Engine",
"messageId": 173885,
"mpeRuleId": -1,
"mpeRuleName": "",
"normalDateMax": "0001-01-01T00:00:00",
"objectName": "",
"objectType": "",
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHostName": "",
"originInterface": "",
"originIP": null,
"originLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"originMAC": "",
"originName": "",
"originNATIP": "",
"originNATPort": null,
"originNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"originPort": -1,
"originZone": "Unknown",
"parentProcessId": "",
"parentProcessName": "",
"parentProcessPath": "",
"policy": "",
"priority": 91,
"process": "",
"processId": -1,
"protocolId": -1,
"protocolName": "",
"quantity": 0,
"rate": 0,
"reason": "",
"recipient": "",
"result": "",
"responseCode": "",
"sender": "",
"session": "",
"recipientIdentityId": null,
"recipientIdentityName": ""
}
]
}
]
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 200 de uma entidade for informado (is_success=true): "Os detalhes dos seguintes alertas no LogRhythm foram recuperados com sucesso: {IDs}" Se nenhum alerta for encontrado (is_success=true):"Os seguintes alertas não foram encontrados no LogRhythm: {IDs}" Se todos os alarmes não forem encontrados (is_success=false): "Nenhum dos alarmes fornecidos foi encontrado no LogRhythm." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Receber detalhes do alarme". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela do painel de casos | Nome da tabela:eventos do alarme {ID} Colunas da tabela:
|
Geral |
Adicionar comentário ao alarme
Descrição
Adicione um comentário ao alarme no LogRhythm.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do alarme | String | N/A | Sim | Especifique o ID do alerta a que você precisa adicionar um comentário no LogRhythm. |
| Comentário | String | N/A | Sim | Especifique um comentário que precisa ser adicionado ao alarme. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 200 for informado (is_success=true): "O comentário foi adicionado ao alerta com ID {ID} no LogRhythm." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema for informado: "Erro ao executar a ação "Adicionar comentário ao alerta". Motivo: {0}''.format(error.Stacktrace) Se o código de status não for 200: "Erro ao executar a ação "Adicionar comentário ao alarme". Motivo: {0}''.format(responseMessage) |
Geral |
Listar evidências de caso
Descrição
Listar evidências de caso no LogRhythm.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do caso | String | N/A | Sim | Especifique o ID do caso para o qual você quer retornar uma lista de evidências. |
| Filtro de status | CSV | N/A | Não | Especifique uma lista separada por vírgulas de filtros de status para a evidência. Valores possíveis: "pendente", "concluído", "falha". Se nada for fornecido, a ação vai retornar evidências de todos os status. |
| Tipo de filtro | CSV | N/A | Não | Especifique uma lista separada por vírgulas de filtros de tipo para a evidência. Valores possíveis: alarm, userEvents, log, note, file. Se nada for fornecido, a ação vai retornar evidências de todos os tipos. |
| Máximo de evidências a serem retornadas | Número inteiro | 50 | Não | Especifique o número de evidências a serem retornadas. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
[
{
"number": 4,
"dateCreated": "2021-07-31T11:00:40.2433333Z",
"dateUpdated": "2021-07-31T11:00:40.2433333Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "test",
"pinned": false,
"datePinned": null,
"file": {
"name": "UploadCustomListTemplate .csv",
"size": 161
}
}
]
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 200 for informado (is_success=true): "Evidências relacionadas ao caso com ID {ID} listadas com sucesso no LogRhythm". Se nenhuma evidência estiver disponível (is_success=false): "Nenhuma evidência foi encontrada para o caso com ID {ID} no LogRhythm." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "List Case Evidence". Motivo: {0}''.format(error.Stacktrace) Se o código de status 404 for informado: "Erro ao executar a ação "List Case Evidence". Motivo: {0}''.format(message) Se um valor inválido for fornecido para o parâmetro "Status": "Erro ao executar a ação "List Case Evidence". Motivo: valores inválidos fornecidos no parâmetro "Filtro de status": {invalid value}. Valores possíveis: "pendente", "concluído", "falha". Se um valor inválido for fornecido para o parâmetro "Type": "Erro ao executar a ação "List Case Evidence". Motivo: valores inválidos fornecidos no parâmetro "Type": {invalid value}. Valores possíveis: alarm, userEvents, log, note, file. |
Geral |
| Painel de casos | Evidências do caso {case id} Tipo Status Contexto |
Adicionar alarme ao caso
Descrição
Adicione um alarme ao caso no LogRhythm.
Parâmetro
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do caso | String | N/A | Sim | Especifique o ID do caso a que você quer adicionar alarmes. |
| IDs de alarmes | CSV | N/A | Sim | Especifique uma lista separada por vírgulas de alarmes que precisam ser adicionados ao caso. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
[
{
"number": 23,
"dateCreated": "2021-08-11T09:02:17.0066667Z",
"dateUpdated": "2021-08-11T09:02:17.0066667Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15298,
"alarmDate": "2021-07-30T02:07:29.813+03:00",
"alarmRuleId": 1000,
"alarmRuleName": "AIE: ISO-27001: File Monitoring Event-File Changes",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": -100,
"entityName": "Global Entity",
"riskBasedPriorityMax": 1
}
},
{
"number": 24,
"dateCreated": "2021-08-11T09:03:18.65Z",
"dateUpdated": "2021-08-11T09:03:18.65Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15297,
"alarmDate": "2021-07-30T02:07:28.353+03:00",
"alarmRuleId": 1419,
"alarmRuleName": "AIE: CCF: FIM General Activity",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": 1,
"entityName": "Primary Site",
"riskBasedPriorityMax": 0
}
}
]
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 201 for informado (is_success=true): "Adicionamos com sucesso evidências de alerta relacionadas ao caso com ID {ID} no LogRhythm". Se o código de status 200 for informado (is_success=true): "Todas as evidências de alerta fornecidas já faziam parte do caso com ID {ID} no LogRhythm". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Adicionar alarme ao caso". Motivo: {0}''.format(error.Stacktrace) Se o código de status 404 for informado: "Erro ao executar a ação "Adicionar alarme ao caso". Motivo: {0}''.format(message or details) |
Geral |
Anexar arquivo ao caso
Descrição
Anexe um arquivo ao caso no LogRhythm.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do caso | String | N/A | Sim | Especifique o ID do caso a que você quer anexar arquivos. |
| Caminhos de arquivos | CSV | N/A | Sim | Especifique uma lista separada por vírgulas de caminhos absolutos de arquivos. |
| Observação | String | N/A | Não | Especifique uma observação que deve ser adicionada ao caso junto com o arquivo. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
[
{
"number": 26,
"dateCreated": "2021-08-11T09:17:33.91Z",
"dateUpdated": "2021-08-11T09:17:33.91Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"file": {
"name": "Get Deep Visibility Query Result_JsonResultSample.json",
"size": 4979
}
}
]
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se concluído para um arquivo caminho (is_success=true): "Os seguintes arquivos foram adicionados ao caso com ID {ID} no LogRhythm." Se falhar para um caminho de arquivo (is_success= true): "Não foi possível adicionar os seguintes arquivos ao caso com ID {ID} no LogRhythm: {failed file paths}". Se falhar para todos os caminhos de arquivo (is_success=false): "Nenhum arquivo foi adicionado ao caso com ID {ID} no LogRhythm." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema for informado: "Erro ao executar a ação "Anexar arquivo ao caso". Motivo: {0}''.format(error.Stacktrace) Se o código de status 404 for informado: "Erro ao executar a ação "Anexar arquivo ao caso". Motivo: {0}''.format(message) Se você encontrou um tempo limite: "Erro ao executar a ação "Anexar arquivo ao caso". Motivo: a ação atingiu o tempo limite. Os seguintes arquivos ainda estão sendo processados: {pending files}. Aumente o tempo limite no IDE. Observação: adicionar o mesmo arquivo cria uma entrada separada no LogRhythm. |
Geral |
Adicionar observação ao caso
Descrição
Adicione uma observação ao caso no LogRhythm.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do caso | String | N/A | Sim | Especifique o ID do caso a que você quer adicionar uma observação. |
| Observação | String | N/A | Sim | Especifique uma observação que deve ser adicionada ao caso. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"number": 29,
"dateCreated": "2021-08-11T12:21:11.5547306Z",
"dateUpdated": "2021-08-11T12:21:11.5547306Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "note",
"status": "completed",
"statusMessage": null,
"text": "asdasd",
"pinned": false,
"datePinned": null
}
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 201 for informado (is_success=true): "Uma observação foi adicionada ao caso com ID {ID} no LogRhythm." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema for informado: "Erro ao executar a ação "Adicionar observação ao caso". Motivo: {0}''.format(error.Stacktrace) Se o código de status 404 for informado: "Erro ao executar a ação "Adicionar observação ao caso". Motivo: {0}''.format(message) |
Geral |
Criar caso
Descrição
Crie um caso no LogRhythm.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome | String | N/A | Sim | Especifique o nome do caso. |
| Prioridade | DDL | 1 Valores possíveis:
|
Sim | Especifique a prioridade do caso. |
| Data de conclusão | String | N/A | Não | Especifique a data de entrega do caso. Formato: ISO 8601 Exemplo: 2021-04-23T12:38Z |
| Descrição | String | N/A | Não | Especifique uma descrição para o caso. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:37:42.8942168Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 201 for informado (is_success=true): "Caso {number} criado com sucesso no LogRhythm". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Criar caso". Motivo: {0}''.format(error.Stacktrace) Se o código de status 404 for informado: "Erro ao executar a ação "Criar caso". Motivo: {0}''.format(message) |
Geral |
Atualizar caso
Descrição
Atualize um caso no LogRhythm.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do caso | String | N/A | Sim | Especifique o ID do caso que precisa ser atualizado. |
| Nome | String | N/A | Não | Especifique um novo nome para o caso. |
| Prioridade | DDL | Selecione uma opção. Valores possíveis:
|
Não | Especifique uma nova prioridade para o caso. |
| Data de conclusão | String | N/A | Não | Especifique uma nova data de vencimento para o caso. Formato: ISO 8601 Exemplo: 2021-04-23T12:38Z |
| Descrição | String | N/A | Não | Especifique uma nova descrição para o caso. |
| Resolução | String | N/A | Não | Especifique como o caso foi resolvido. |
| Status | DDL | Selecione uma opção. Valores possíveis:
|
Não | Especifique o novo status do caso. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:48:52.9765558Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 201 for informado (is_success=true): "Caso {ID} atualizado com sucesso no LogRhythm". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Atualizar caso". Motivo: {0}''.format(error.Stacktrace)" Se o código de status 404 for informado: "Erro ao executar a ação "Atualizar caso". Motivo: {0}''.format(message) Se o código de status for 400: "Erro ao executar a ação "Atualizar caso". Motivo: {0}''.format(validationErrors)" Se o parâmetro "Status" ou "Prioridade" estiver definido como "Selecionar um" e nenhum dos outros valores for fornecido: "Erro ao executar a ação "Atualizar caso". Motivo: pelo menos um dos parâmetros de ação precisa ter um valor informado." |
Geral |
Baixar arquivos de caso
Descrição
Baixe os arquivos relacionados ao caso no LogRhythm.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do caso | String | N/A | Sim | Especifique o ID do caso de que você quer baixar arquivos. |
| Caminho da pasta de download | String | N/A | Sim | Especifique o caminho da pasta em que você quer armazenar os arquivos do caso. |
| Substituir | Booleano | Falso | Sim | Se ativada, a ação vai substituir o arquivo com o mesmo nome. |
Data de execução
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{"absolute_file_paths": ["file_path_1","file_path_2"]}
``` ##### Entity
Enrichment
N/A
##### Insights
N/A
##### Case Wall
<table>
<thead>
<tr>
<th><strong>Result type</strong></th>
<th><strong>Value/Description</strong></th>
<th><strong>Type</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Output message*</td>
<td><p><strong>The action should not fail nor stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If the</em> <strong></strong> <em>200 status code for all cases is reported (is_success=true):</em> "Successfully downloaded files related to case with ID {ID} in LogRhythm."</p><p></p><p><em>If no files are found (is_success=true): "</em>No related files were found for the case with ID {ID} in LogRhythm."</p><p></p><p><strong>The action should fail and stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If a</em> <strong></strong> <em>fatal error, like wrong credentials, no connection to the server, other is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(error.Stacktrace)"</p><p></p><p><em>If the 404 status code is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(message)"</p><p></p><p><em>If a file with the same name already exists, but "Overwrite" is set to false:</em> "Error executing action "Download Case Files". Reason: files with path {0} already exist. Please delete the files or set "Overwrite" to true."</p></td>
<td>General</td>
</tr>
</tbody>
</table>
### List Entity Events
#### Description
List events related to entities in LogRhythm. Supported entities: Hostname, IP
Address, User, CVE, Hash, URL.
Note: This action runs as async. Adjust the script timeout value in the
Google SecOps IDE for the action as needed.
#### Parameters
<table>
<thead>
<tr>
<th><strong>Parameter Display Name</strong></th>
<th><strong>Type</strong></th>
<th><strong>Default Value</strong></th>
<th><strong>Is Mandatory</strong></th>
<th><strong>Description</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Time Frame</td>
<td>DDL</td>
<td><p>Last Hour</p><p><strong></strong></p><p>Possible Values: </p><ul><li>Last Hour</li><li>Last 6 Hours</li><li>Last 24 Hours</li><li>Last Week</li><li>Last Month</li><li>Custom</li></ul></td>
<td>No</td>
<td>Name of the watchlist from which you want to remove values.</td>
</tr>
<tr>
<td>Start Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the start time for the results.</p><p></p><p>This parameter is mandatory, if "Custom" is selected for the "Time Frame" parameter. </p><p></p><p>Format: ISO 8601</p><p></p><p>Example: 2021-04-23T12:38Z</p></td>
</tr>
<tr>
<td>End Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the end time for the results. </p><p></p><p>If nothing is provided and "Custom" is selected for the "Time Frame" parameter then this parameter uses current time.</p><p></p><p>Format: ISO 8601</p></td>
</tr>
<tr>
<td>Sort Order</td>
<td>DDL</td>
<td><p>Datetime ASC <strong></strong> </p><p></p><p>Possible values:</p><ul><li>Datetime ASC</li><li>Datetime DESC</li><li>Risk ASC</li><li>RiskDESC</li></ul></td>
<td>No</td>
<td>Specify the sorting logic for the query.</td>
</tr>
<tr>
<td>Max Events To Return</td>
<td>Integer</td>
<td>50</td>
<td>No</td>
<td>Specify the number of events to return.</td>
</tr>
</tbody>
</table>
#### Run On
This action runs on the following entities:
* Hostname
* IP Address
* User
* CVE
* Hash
* URL
#### Action Results
##### Script Result
<table>
<thead>
<tr>
<th><strong>Script Result Name</strong></th>
<th><strong>Value Options</strong></th>
<th><strong>Example</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>is_success</td>
<td>True/False</td>
<td>is_success:False</td>
</tr>
</tbody>
</table>
##### JSON Result
```json
{
"kBytes": 2521.025390625,
"kBytesIn": 2500.0,
"kBytesOut": 21.025390625,
"outboundKBytes": 21.025390625,
"impactedHostTotalKBytes": 2521.025390625,
"keyField": "messageId",
"count": 1,
"classificationId": 3200,
"classificationName": "Error",
"classificationTypeName": "Operations",
"commonEventName": "HTTP 504 : Server Error - Gateway Time-Out",
"commonEventId": 8938,
"direction": 3,
"directionName": "External",
"entityId": 2,
"entityName": "EchoTestEntity",
"rootEntityId": 2,
"rootEntityName": "EchoTestEntity",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHost": "192.0.2.11",
"impactedInterface": "0",
"impactedIp": "192.0.2.11",
"impactedPort": 80,
"impactedZoneName": "External",
"indexedDate": 1629460029041,
"insertedDate": 1629123439811,
"logDate": 1629134239789,
"logMessage": "CISCONGFW EVENT Ev_Id=436 Ev",
"logSourceHost": "EchoTestHost",
"logSourceHostId": 2,
"logSourceHostName": "EchoTestHost",
"logSourceId": 15,
"logSourceName": "Echo_2_1000107",
"logSourceType": 1000107,
"logSourceTypeName": "Flat File - Cisco NGFW",
"messageId": "23066",
"messageTypeEnum": 2,
"mpeRuleId": 1176829,
"mpeRuleName": "HTTP 504 : Server Error : Gateway Timeout",
"normalDate": 1629123439791,
"normalDateMin": 1629123439791,
"normalMsgDateMax": 1629123439791,
"normalDateHour": 1629122400000,
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHost": "192.0.2.12",
"originInterface": "0",
"originIp": "192.0.2.12",
"originPort": 14042,
"originZone": 3,
"originZoneName": "External",
"priority": 38,
"process": "5",
"processId": 300003,
"protocolId": 6,
"protocolName": "TCP",
"serviceId": 1388,
"serviceName": "HTTP",
"portProtocol": "HTTP",
"session": "436",
"severity": "57",
"url": "http://www.google.com/",
"vendorMessageId": "504",
"version": "2",
"status": "504"
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados de uma entidade forem encontrados (is_success=true): "Eventos recuperados com sucesso para as seguintes entidades no LogRhythm: {entity.identifier}." Se falhar para uma entidade (is_success=true): "A ação não conseguiu recuperar eventos para as seguintes entidades no LogRhythm: {entity.identifier}." Se falhar para todas as entidades (is_success=false): "Não foi possível recuperar eventos para as entidades fornecidas no LogRhythm". Se não houver dados para pelo menos uma entidade (is_success=true): "Nenhum evento foi encontrado para as seguintes entidades no LogRhythm: {entity.identifier}." Se não houver dados para todas as entidades (is_success=false): "Nenhum evento foi encontrado para as entidades fornecidas no LogRhythm". Se ocorrer um tempo limite para uma entidade (is_success=true): "A ação atingiu um tempo limite durante a execução. Entidades pendentes: {entidades que não retornaram dados}. Aumente o tempo limite da ação no ambiente de desenvolvimento integrado." Mensagem assíncrona: "Aguardando informações de eventos para as seguintes entidades: {entity.identifier}" A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "List Entity Events". Motivo: {0}''.format(error.Stacktrace)" Se todas as entidades atingirem o tempo limite (is_success=false): "Erro ao executar a ação "Listar eventos de entidade". Motivo: a ação atingiu o tempo limite durante a execução. Nenhuma informação sobre os eventos foi recuperada para as entidades fornecidas. Aumente o tempo limite da ação no ambiente de desenvolvimento integrado." Se o parâmetro "Horário de início" estiver vazio e o parâmetro "Período" estiver definido como "Personalizado" (falha): "Erro ao executar a ação "". Motivo: "Horário de início" precisa ser informado quando "Personalizado" é selecionado no parâmetro "Período". Se o parâmetro "Horário de início" tiver um valor maior que o parâmetro "Horário de término" (falha): "Erro ao executar a ação". Motivo: "Horário de término" precisa ser posterior a "Horário de início". Se o número máximo de itens a serem retornados não for maior que 0: "Erro ao executar a ação". Motivo: "Número máximo de eventos a serem retornados" precisa ser maior que 0. |
Geral |
| Tabela do painel de casos | Nome da tabela: {entity.identifier} Colunas da tabela:
Observação:essa coluna vai aparecer se houver pelo menos um registro com valor. |
Entidade |
Conectores
Conector do LogRhythm Cases
Descrição
Extraia casos do LogRhythm.
Parâmetros do conector
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | N/A | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | event_type | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{IP}:8501 | Sim | Raiz da API da instância do LogRhythm. |
| Token da API | Senha | N/A | Sim | Token da API LogRhythm. |
| Número máximo de dias para retroceder | Número inteiro | 1 | Sim | Número de dias a partir de onde buscar casos. |
| Menor prioridade a ser buscada | Número inteiro | N/A | Não | A prioridade mais baixa que precisa ser usada para buscar casos. Se nada for fornecido, os casos com todas as prioridades serão ingeridos. Valores possíveis: de 1 a 5. |
| Limite de contagem de alertas | Número inteiro | 10 | Sim | Número de casos a serem processados por uma iteração do conector. |
| Arquivo de certificado de CA | String | N/A | Não | Arquivo de certificado de CA codificado em Base64. |
| Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, a lista de permissões será usada como uma lista de bloqueios. |
| Verificar SSL | Caixa de seleção | Desmarcado | Sim | Se ativada, verifique se o certificado SSL da conexão com o servidor LogRhythm é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras de conector
Suporte a proxy
O conector oferece suporte a proxy.
LogRhythm: conector de alarmes da API REST
Descrição
Extrair alarmes do LogRhythm usando a API REST.
Configurar o conector de alarmes da API REST do LogRhythm no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | classificationTypeName | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{IP}:8501 | Sim | Raiz da API da instância do LogRhythm. |
| Token da API | Senha | N/A | Sim | Token da API LogRhythm. |
| Máximo de horas para trás | Número inteiro | 1 | Não | Número de horas de onde buscar alertas. |
| Número máximo de alarmes a serem buscados | Número inteiro | 10 | Não | Número de alertas a serem processados por iteração de conector. |
| Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, a lista de permissões será usada como uma lista de bloqueios. |
| Verificar SSL | Caixa de seleção | Desmarcado | Sim | Se ativada, verifique se o certificado SSL da conexão com o servidor LogRhythm é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras de conector
Suporte a proxy
O conector é compatível com proxy.
Jobs
Sincronizar comentários de caso
Descrição
Esse job sincroniza comentários em casos do LogRhythm e do Google SecOps.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{IP}:8501 | Sim | Raiz da API da instância do LogRhythm. |
| Token da API | Senha | N/A | Sim | Token da API LogRhythm. |
| Arquivo de certificado de CA | String | N/A | Não | Arquivo de certificado de CA codificado em Base64. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifique se o certificado SSL da conexão com o servidor LogRhythm é válido. |
Sincronizar casos encerrados
Descrição
Esse job sincroniza casos fechados do LogRhythm e alertas do Google SecOps.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{IP}:8501 | Sim | Raiz da API da instância do LogRhythm. |
| Token da API | Senha | N/A | Sim | Token da API LogRhythm. |
| Arquivo de certificado de CA | String | N/A | Não | Arquivo de certificado de CA codificado em Base64. |
| Máximo de horas para trás | Número inteiro | 24 | Não | Especifique o número de horas para trás em que os status serão sincronizados. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifique se o certificado SSL da conexão com o servidor LogRhythm é válido. |
Sincronizar comentários de alarmes
Descrição
Esse job sincroniza comentários em alarmes do LogRhythm e casos do Google SecOps.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{IP}:8501 | Sim | Raiz da API da instância do LogRhythm. |
| Token da API | Senha | N/A | Sim | Token da API LogRhythm. |
| Arquivo de certificado de CA | String | N/A | Não | Arquivo de certificado de CA codificado em Base64. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifique se o certificado SSL da conexão com o servidor LogRhythm é válido. |
Sincronizar alarmes fechados
Descrição
Esse job sincroniza alertas fechados do LogRhythm e do Google SecOps.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{IP}:8501 | Sim | Raiz da API da instância do LogRhythm. |
| Token da API | Senha | N/A | Sim | Token da API LogRhythm. |
| Arquivo de certificado de CA | String | N/A | Não | Arquivo de certificado de CA codificado em Base64. |
| Máximo de horas para trás | Número inteiro | 24 | Não | Especifique o número de horas para trás em que os status serão sincronizados. |
| Verificar SSL | Caixa de seleção | Selecionado | Sim | Se ativada, verifique se o certificado SSL da conexão com o servidor LogRhythm é válido. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.