LogRhythm
集成版本:17.0
从该集成的版本 10 开始,将不再有闹钟连接器。此连接器已弃用,因为 LogRhythm 方面已弃用 SOAP API。现在,整个集成都使用 LogRhythm 7.9 版本中引入的 REST API。
如需了解详情,请参阅 SOAP API (LogRhythm 7.x.x)。
此外,集成已更新为 Python 版本 3,因此不支持将此连接器(来自版本 9)与较新版本的集成(版本 10)搭配使用,否则会导致意外行为。
请按照建议的流程进行此更新:
在将集成更新到版本 10 之前,请使用版本 9 的集成将每个“LogRhythm Alarms Connector”迁移到“LogRhythm - Rest API Alarms Connector”。
将集成更新到版本 10。
在 Google Security Operations 中配置 LogRhythm 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://{IP}:8501 | 是 | LogRhythm 实例的 API 根。 |
| API 令牌 | 密码 | 不适用 | 否 | LogRhythm 实例的 API 令牌。 |
| CA 证书文件 | 字符串 | 不适用 | 否 | Base64 编码的 CA 证书文件。 |
| 验证 SSL | 复选框 | 尚未核查 | 是 | 如果已启用,请验证与 LogRhythm 服务器的连接所用的 SSL 证书是否有效。 |
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中集成配置页面上提供的参数,测试与 LogRhythm 的连接。
参数
不适用
使用场景
不适用
运行于
此操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:“Successfully connected to the LogRhythm server with the provided connection parameters!” 操作应失败并停止 playbook 执行: 如果不成功:“Failed to connect to the LogRhythm server! 错误为 {0}".format(exception.stacktrace) |
常规 |
丰富实体
说明
使用 LogRhythm 中的信息丰富实体。支持的实体:主机名、IP 地址。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 创建分析数据 | 复选框 | 勾选 | 否 | 如果启用,该操作会创建一个包含有关实体的所有检索到的信息的分析洞见。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"id": 2,
"entity": {
"id": 2,
"name": "EchoTestEntity"
},
"name": "EchoTestHost",
"shortDesc": "LogRhythm ECHO",
"riskLevel": "None",
"threatLevel": "None",
"threatLevelComments": "",
"recordStatusName": "Active",
"hostZone": "Internal",
"location": {
"id": -1
},
"os": "Windows",
"osVersion": "Microsoft Windows NT 6.2.9200.0",
"useEventlogCredentials": false,
"osType": "Server",
"dateUpdated": "2021-04-14T09:18:17.677Z",
"hostRoles": [],
"hostIdentifiers": [
{
"type": "IPAddress",
"value": "10.1.2.50",
"dateAssigned": "2021-04-14T09:17:31Z"
},
{
"type": "WindowsName",
"value": "EchoTestHost",
"dateAssigned": "2021-04-14T09:17:31Z"
}
]
}
实体扩充
| 扩充项字段名称 | 逻辑 - 适用情形 |
|---|---|
| 说明 | 以 JSON 格式提供时 |
| risk_level | 以 JSON 格式提供时 |
| threat_level | 以 JSON 格式提供时 |
| 状态 | 以 JSON 格式提供时 |
| host_zone | 以 JSON 格式提供时 |
| os | 以 JSON 格式提供时 |
| 类型 | 以 JSON 格式提供时 |
| IP 地址 | 以 JSON 格式提供时 |
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: If data is available for one entity (is_success=true): "Successfully enriched the following entities using information from LogRhythm: {entity.identifier}". 如果某个实体没有数据 (is_success=true):“Action 无法使用来自 LogRhythm 的信息来丰富以下实体:{entity.identifier}”。 如果并非所有实体都有数据 (is_success=false):“未扩充任何提供的实体。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等):“Error executing action "Enrich Entities". 原因:{0}''.format(error.Stacktrace) |
常规 |
| “案例墙”表格 | 表格标题:{entity.identifier} | 实体 |
更新闹钟
说明
更新 LogRhythm 中的警报。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 闹钟 ID | 字符串 | 不适用 | 是 | 指定需要在 LogRhythm 中更新的警报的 ID。 |
| 状态 | DDL | 选择一项 可能的值:
|
否 | 指定闹钟的状态。 |
| 风险得分 | 整数 | 不适用 | 否 | 为警报指定新的风险评分。 最大值:100 |
运行于
此操作适用于以下实体:
- 网址
- IP 地址
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果报告了 200 状态代码 (is_success=true):“Successfully updated alarm with ID {ID} in LogRhythm.” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等):“Error executing action "Update Alarm". 原因:{0}''.format(error.Stacktrace) 如果状态代码不是 200:“执行操作‘更新闹钟’时出错。原因:{0}''.format(responseMessage)" 如果“状态”形参设置为“选择一个”,但未提供任何其他值:“执行操作‘更新闹钟’时出错。原因:至少一个操作参数应具有提供的值。 |
常规 |
获取闹钟详细信息
说明
在 LogRhythm 中获取闹钟详细信息。此操作可让您从 LogRhythm Advanced Intelligence Engine (AIE) 事件中获取详细信息,并将这些数据注入到 Google SecOps 中。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 闹钟 ID | CSV | 不适用 | 是 | 指定以英文逗号分隔的闹钟 ID 列表,我们需要检索这些闹钟的详细信息。 |
| 要提取的事件数量上限 | 整数 | 50 | 否 | 指定要返回的事件数。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
[
{
"alarmRuleID": 98,
"alarmId": 18755,
"personId": -100,
"alarmDate": "2021-08-17T13:36:39.78",
"alarmStatus": 0,
"alarmStatusName": "New",
"entityId": 2,
"entityName": "EchoTestEntity",
"alarmRuleName": "LogRhythm Agent Heartbeat Missed",
"lastUpdatedID": -100,
"lastUpdatedName": "LogRhythm Administrator",
"dateInserted": "2021-08-17T13:36:39.807",
"dateUpdated": "2021-08-17T13:36:39.86",
"associatedCases": [],
"lastPersonID": null,
"eventCount": 1,
"eventDateFirst": "2021-08-17T13:36:37.057",
"eventDateLast": "2021-08-17T13:36:37.057",
"rbpMax": 39,
"rbpAvg": 39,
"smartResponseActions": null,
"alarmDataCached": "N",
"alarmEventsDetails": [
{
"account": "admin5",
"action": "",
"amount": null,
"bytesIn": null,
"bytesOut": null,
"classificationId": 2600,
"classificationName": "Compromise",
"classificationTypeName": "Security",
"command": "",
"commonEventId": 1031412,
"cve": "",
"commonEventName": "AIE: CSC: Disabled Account Auth Success",
"count": 1,
"directionId": 0,
"directionName": "Unknown",
"domain": "",
"duration": 0,
"entityId": -1000001,
"entityName": "",
"group": "",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHostId": -1,
"impactedHostName": "",
"impactedInterface": "",
"impactedIP": null,
"impactedLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"impactedMAC": "",
"impactedName": "",
"impactedNATIP": "",
"impactedNATPort": null,
"impactedNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"impactedPort": -1,
"impactedZone": "Unknown",
"itemsPacketsIn": 0,
"itemsPacketsOut": 0,
"logDate": "2021-08-16T09:51:16.993",
"login": "admin5",
"logMessage": "",
"logSourceHostId": -1000001,
"logSourceHostName": "AI Engine Server",
"logSourceName": "AI Engine",
"logSourceTypeName": "LogRhythm AI Engine",
"messageId": 173885,
"mpeRuleId": -1,
"mpeRuleName": "",
"normalDateMax": "0001-01-01T00:00:00",
"objectName": "",
"objectType": "",
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHostName": "",
"originInterface": "",
"originIP": null,
"originLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"originMAC": "",
"originName": "",
"originNATIP": "",
"originNATPort": null,
"originNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"originPort": -1,
"originZone": "Unknown",
"parentProcessId": "",
"parentProcessName": "",
"parentProcessPath": "",
"policy": "",
"priority": 91,
"process": "",
"processId": -1,
"protocolId": -1,
"protocolName": "",
"quantity": 0,
"rate": 0,
"reason": "",
"recipient": "",
"result": "",
"responseCode": "",
"sender": "",
"session": "",
"recipientIdentityId": null,
"recipientIdentityName": ""
}
]
}
]
实体扩充
不适用
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果报告了某个实体的 200 状态代码 (is_success=true):“Successfully retrieved details for the following alarms in LogRhythm: {IDs}”(已成功检索到 LogRhythm 中以下报警的详细信息:{ID}) 如果未找到任何警报 (is_success=true):“LogRhythm 中未找到以下警报:{IDs}” 如果未找到所有提醒 (is_success=false):“在 LogRhythm 中未找到任何提供的提醒。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等):“Error executing action "Get Alarm Details". 原因:{0}''.format(error.Stacktrace) |
常规 |
| “案例墙”表格 | 表格名称:闹钟 {ID} 事件 表格列:
|
常规 |
向闹钟添加评论
说明
在 LogRhythm 中向闹钟添加评论。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 闹钟 ID | 字符串 | 不适用 | 是 | 指定需要在 LogRhythm 中添加注释的警报的 ID。 |
| 评论 | 字符串 | 不适用 | 是 | 指定需要添加到闹钟中的注释。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果报告了 200 状态代码 (is_success=true):“Successfully added comment to the alarm with ID {ID} in LogRhythm.” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Add Comment To Alarm". 原因:{0}''.format(error.Stacktrace) 如果状态代码不是 200:“执行操作‘向闹钟添加评论’时出错。原因:{0}''.format(responseMessage) |
常规 |
列出诉讼证据
说明
列出 LogRhythm 中的支持证据。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 支持请求 ID | 字符串 | 不适用 | 是 | 指定要为其返回证据列表的诉讼请求的 ID。 |
| “状态”过滤条件 | CSV | 不适用 | 否 | 以逗号分隔列表的形式指定证据的状态过滤条件。 可能的值:pending、completed、failed。 如果未提供任何内容,则操作会返回所有状态的证据。 |
| 类型过滤 | CSV | 不适用 | 否 | 以逗号分隔列表的形式指定证据的类型过滤条件。 可能的值:alarm、userEvents、log、note、file。 如果未提供任何内容,该操作会返回所有类型的证据。 |
| 要返回的证据数量上限 | 整数 | 50 | 否 | 指定要返回的证据数量。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
[
{
"number": 4,
"dateCreated": "2021-07-31T11:00:40.2433333Z",
"dateUpdated": "2021-07-31T11:00:40.2433333Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "test",
"pinned": false,
"datePinned": null,
"file": {
"name": "UploadCustomListTemplate .csv",
"size": 161
}
}
]
实体扩充
不适用
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果报告了 200 状态代码 (is_success=true):“Successfully listed evidence related to the case with ID {ID} in LogRhythm.” 如果没有证据(is_success=false):“在 LogRhythm 中未找到 ID 为 {ID} 的案件的证据。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "List Case Evidence". 原因:{0}''.format(error.Stacktrace) 如果报告了 404 状态代码:“Error executing action "List Case Evidence". 原因:{0}''.format(message) 如果为“状态”参数提供的值无效:“执行操作‘列出诉讼证据’时出错。原因:参数“状态过滤条件”中提供的值无效:{invalid value}。可能的值:pending、completed、failed。 如果为“类型”参数提供的值无效:“执行操作‘列出支持证据’时出错。原因:参数“Type”中提供的值无效:{invalid value}。可能的值:alarm、userEvents、log、note、file。 |
常规 |
| 案例墙 | 支持服务工单 {case id} 证据 类型 状态 上下文 |
向支持服务请求添加提醒
说明
在 LogRhythm 中向支持请求添加提醒。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 支持请求 ID | 字符串 | 不适用 | 是 | 指定要向其添加提醒的支持请求的 ID。 |
| 闹钟 ID | CSV | 不适用 | 是 | 指定需要添加到支持请求中的提醒的英文逗号分隔列表。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
[
{
"number": 23,
"dateCreated": "2021-08-11T09:02:17.0066667Z",
"dateUpdated": "2021-08-11T09:02:17.0066667Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15298,
"alarmDate": "2021-07-30T02:07:29.813+03:00",
"alarmRuleId": 1000,
"alarmRuleName": "AIE: ISO-27001: File Monitoring Event-File Changes",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": -100,
"entityName": "Global Entity",
"riskBasedPriorityMax": 1
}
},
{
"number": 24,
"dateCreated": "2021-08-11T09:03:18.65Z",
"dateUpdated": "2021-08-11T09:03:18.65Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15297,
"alarmDate": "2021-07-30T02:07:28.353+03:00",
"alarmRuleId": 1419,
"alarmRuleName": "AIE: CCF: FIM General Activity",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": 1,
"entityName": "Primary Site",
"riskBasedPriorityMax": 0
}
}
]
实体扩充
不适用
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果报告了 201 状态代码 (is_success=true):“已成功在 LogRhythm 中添加与 ID 为 {ID} 的支持请求相关的提醒证据。” 如果报告了 200 状态代码 (is_success=true):“提供的所有提醒证据已包含在 LogRhythm 中 ID 为 {ID} 的支持请求中。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Add Alarm To Case"”(执行操作“Add Alarm To Case”时出错)。原因:{0}''.format(error.Stacktrace) 如果报告了 404 状态代码:“执行操作‘向支持请求添加提醒’时出错。原因:{0}''.format(message or details) |
常规 |
将文件附加到支持请求
说明
在 LogRhythm 中将文件附加到支持请求。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 支持请求 ID | 字符串 | 不适用 | 是 | 指定要附加文件的支持请求的 ID。 |
| 文件路径 | CSV | 不适用 | 是 | 指定以英文逗号分隔的绝对文件路径列表。 |
| 注意 | 字符串 | 不适用 | 否 | 指定应与文件一起添加到支持请求的备注。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
[
{
"number": 26,
"dateCreated": "2021-08-11T09:17:33.91Z",
"dateUpdated": "2021-08-11T09:17:33.91Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"file": {
"name": "Get Deep Visibility Query Result_JsonResultSample.json",
"size": 4979
}
}
]
实体扩充
不适用
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果已完成一个文件 路径 (is_success=true):“已成功将以下文件添加到 LogRhythm 中 ID 为 {ID} 的支持请求。” 如果一个文件路径失败(is_success= true):“Action wasn't able to add the following files to the case with ID {ID} in LogRhythm: {failed file paths}”(操作无法将以下文件添加到 LogRhythm 中 ID 为 {ID} 的支持请求中:{failed file paths})。 如果所有文件路径均失败 (is_success=false):“No files were added to the case with ID {ID} in LogRhythm.” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Attach File To Case"”(执行“将文件附加到支持请求”操作时出错)。原因:{0}''.format(error.Stacktrace) 如果报告了 404 状态代码:“Error executing action "Attach File To Case". 原因:{0}''.format(message) 如果遇到超时问题:“执行操作‘将文件附加到支持请求’时出错。原因:操作超时。以下文件仍在处理中:{pending files}。请在 IDE 中增加超时时间。注意:添加同一文件会在 LogRhythm 中创建单独的条目。 |
常规 |
向支持请求添加备注
说明
在 LogRhythm 中为支持请求添加备注。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 支持请求 ID | 字符串 | 不适用 | 是 | 指定要添加备注的支持请求的 ID。 |
| 注意 | 字符串 | 不适用 | 是 | 指定应添加到支持请求中的备注。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"number": 29,
"dateCreated": "2021-08-11T12:21:11.5547306Z",
"dateUpdated": "2021-08-11T12:21:11.5547306Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "note",
"status": "completed",
"statusMessage": null,
"text": "asdasd",
"pinned": false,
"datePinned": null
}
实体扩充
不适用
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果报告了 201 状态代码 (is_success=true):“Successfully added a note to the case with ID {ID} in LogRhythm.” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、未连接到服务器、其他错误):“Error executing action "Add Note To Case". 原因:{0}''.format(error.Stacktrace) 如果报告了 404 状态代码:“执行操作‘向支持请求添加备注’时出错。原因:{0}''.format(message) |
常规 |
创建支持请求
说明
在 LogRhythm 中创建支持请求。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 名称 | 字符串 | 不适用 | 是 | 指定支持请求的名称。 |
| 优先级 | DDL | 1 可能的值:
|
是 | 指定支持请求的优先级。 |
| 截止日期 | 字符串 | 不适用 | 否 | 指定支持请求的截止日期。 格式:ISO 8601 示例:2021-04-23T12:38Z |
| 说明 | 字符串 | 不适用 | 否 | 指定支持请求的说明。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:37:42.8942168Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
实体扩充
不适用
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果报告了 201 状态代码 (is_success=true):“Successfully created case {number} in LogRhythm.” 操作应失败并停止 playbook 执行: 如果报告了严重错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Create Case"”(执行“创建支持请求”操作时出错)。原因:{0}''.format(error.Stacktrace) 如果报告了 404 状态代码:“执行操作‘创建支持请求’时出错。原因:{0}''.format(message) |
常规 |
更新支持请求
说明
更新 LogRhythm 中的支持请求。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 支持请求 ID | 字符串 | 不适用 | 是 | 指定需要更新的支持请求的 ID。 |
| 名称 | 字符串 | 不适用 | 否 | 为支持请求指定新名称。 |
| 优先级 | DDL | 选择一项 可能的值:
|
否 | 为支持请求指定新的优先级。 |
| 截止日期 | 字符串 | 不适用 | 否 | 为支持请求指定新的截止日期。 格式:ISO 8601 示例:2021-04-23T12:38Z |
| 说明 | 字符串 | 不适用 | 否 | 为支持请求指定新说明。 |
| 解决方法 | 字符串 | 不适用 | 否 | 指定支持请求的解决方式。 |
| 状态 | DDL | 选择一项 可能的值:
|
否 | 为支持请求指定新状态。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:48:52.9765558Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
实体扩充
不适用
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果 报告了 201 状态代码(is_success=true):“Successfully updated case {ID} in LogRhythm.” 操作应失败并停止 playbook 执行: 如果 报告了致命错误(例如凭据错误、无法连接到服务器等):“Error executing action "Update Case". 原因:{0}''.format(error.Stacktrace)" 如果报告了 404 状态代码:“执行操作‘更新支持请求’时出错。原因:{0}''.format(message) 如果状态代码为 400:“执行操作‘更新支持请求’时出错。原因:{0}''.format(validationErrors) 如果“状态”或“优先级”参数设置为“选择一个”,但未提供任何其他值:“执行操作‘更新支持请求’时出错”。原因:至少一个操作参数应具有提供的值。 |
常规 |
下载案件文件
说明
在 LogRhythm 中下载与支持请求相关的文件。
参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 支持请求 ID | 字符串 | 不适用 | 是 | 指定要从中下载文件的支持请求的 ID。 |
| 下载文件夹路径 | 字符串 | 不适用 | 是 | 指定要存储支持服务请求文件的文件夹的路径。 |
| 覆盖 | 布尔值 | 错误 | 是 | 如果启用,该操作会覆盖同名文件。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{"absolute_file_paths": ["file_path_1","file_path_2"]}
``` ##### Entity
Enrichment
N/A
##### Insights
N/A
##### Case Wall
<table>
<thead>
<tr>
<th><strong>Result type</strong></th>
<th><strong>Value/Description</strong></th>
<th><strong>Type</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Output message*</td>
<td><p><strong>The action should not fail nor stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If the</em> <strong></strong> <em>200 status code for all cases is reported (is_success=true):</em> "Successfully downloaded files related to case with ID {ID} in LogRhythm."</p><p></p><p><em>If no files are found (is_success=true): "</em>No related files were found for the case with ID {ID} in LogRhythm."</p><p></p><p><strong>The action should fail and stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If a</em> <strong></strong> <em>fatal error, like wrong credentials, no connection to the server, other is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(error.Stacktrace)"</p><p></p><p><em>If the 404 status code is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(message)"</p><p></p><p><em>If a file with the same name already exists, but "Overwrite" is set to false:</em> "Error executing action "Download Case Files". Reason: files with path {0} already exist. Please delete the files or set "Overwrite" to true."</p></td>
<td>General</td>
</tr>
</tbody>
</table>
### List Entity Events
#### Description
List events related to entities in LogRhythm. Supported entities: Hostname, IP
Address, User, CVE, Hash, URL.
Note: This action runs as async. Adjust the script timeout value in the
Google SecOps IDE for the action as needed.
#### Parameters
<table>
<thead>
<tr>
<th><strong>Parameter Display Name</strong></th>
<th><strong>Type</strong></th>
<th><strong>Default Value</strong></th>
<th><strong>Is Mandatory</strong></th>
<th><strong>Description</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Time Frame</td>
<td>DDL</td>
<td><p>Last Hour</p><p><strong></strong></p><p>Possible Values: </p><ul><li>Last Hour</li><li>Last 6 Hours</li><li>Last 24 Hours</li><li>Last Week</li><li>Last Month</li><li>Custom</li></ul></td>
<td>No</td>
<td>Name of the watchlist from which you want to remove values.</td>
</tr>
<tr>
<td>Start Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the start time for the results.</p><p></p><p>This parameter is mandatory, if "Custom" is selected for the "Time Frame" parameter. </p><p></p><p>Format: ISO 8601</p><p></p><p>Example: 2021-04-23T12:38Z</p></td>
</tr>
<tr>
<td>End Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the end time for the results. </p><p></p><p>If nothing is provided and "Custom" is selected for the "Time Frame" parameter then this parameter uses current time.</p><p></p><p>Format: ISO 8601</p></td>
</tr>
<tr>
<td>Sort Order</td>
<td>DDL</td>
<td><p>Datetime ASC <strong></strong> </p><p></p><p>Possible values:</p><ul><li>Datetime ASC</li><li>Datetime DESC</li><li>Risk ASC</li><li>RiskDESC</li></ul></td>
<td>No</td>
<td>Specify the sorting logic for the query.</td>
</tr>
<tr>
<td>Max Events To Return</td>
<td>Integer</td>
<td>50</td>
<td>No</td>
<td>Specify the number of events to return.</td>
</tr>
</tbody>
</table>
#### Run On
This action runs on the following entities:
* Hostname
* IP Address
* User
* CVE
* Hash
* URL
#### Action Results
##### Script Result
<table>
<thead>
<tr>
<th><strong>Script Result Name</strong></th>
<th><strong>Value Options</strong></th>
<th><strong>Example</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>is_success</td>
<td>True/False</td>
<td>is_success:False</td>
</tr>
</tbody>
</table>
##### JSON Result
```json
{
"kBytes": 2521.025390625,
"kBytesIn": 2500.0,
"kBytesOut": 21.025390625,
"outboundKBytes": 21.025390625,
"impactedHostTotalKBytes": 2521.025390625,
"keyField": "messageId",
"count": 1,
"classificationId": 3200,
"classificationName": "Error",
"classificationTypeName": "Operations",
"commonEventName": "HTTP 504 : Server Error - Gateway Time-Out",
"commonEventId": 8938,
"direction": 3,
"directionName": "External",
"entityId": 2,
"entityName": "EchoTestEntity",
"rootEntityId": 2,
"rootEntityName": "EchoTestEntity",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHost": "192.0.2.11",
"impactedInterface": "0",
"impactedIp": "192.0.2.11",
"impactedPort": 80,
"impactedZoneName": "External",
"indexedDate": 1629460029041,
"insertedDate": 1629123439811,
"logDate": 1629134239789,
"logMessage": "CISCONGFW EVENT Ev_Id=436 Ev",
"logSourceHost": "EchoTestHost",
"logSourceHostId": 2,
"logSourceHostName": "EchoTestHost",
"logSourceId": 15,
"logSourceName": "Echo_2_1000107",
"logSourceType": 1000107,
"logSourceTypeName": "Flat File - Cisco NGFW",
"messageId": "23066",
"messageTypeEnum": 2,
"mpeRuleId": 1176829,
"mpeRuleName": "HTTP 504 : Server Error : Gateway Timeout",
"normalDate": 1629123439791,
"normalDateMin": 1629123439791,
"normalMsgDateMax": 1629123439791,
"normalDateHour": 1629122400000,
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHost": "192.0.2.12",
"originInterface": "0",
"originIp": "192.0.2.12",
"originPort": 14042,
"originZone": 3,
"originZoneName": "External",
"priority": 38,
"process": "5",
"processId": 300003,
"protocolId": 6,
"protocolName": "TCP",
"serviceId": 1388,
"serviceName": "HTTP",
"portProtocol": "HTTP",
"session": "436",
"severity": "57",
"url": "http://www.google.com/",
"vendorMessageId": "504",
"version": "2",
"status": "504"
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果找到一个实体的数据(is_success=true):“Successfully retrieved events for the following entities in LogRhythm: {entity.identifier}.”(已成功检索到 LogRhythm 中以下实体的事件:{entity.identifier}。) 如果一个实体的提取失败 (is_success=true):“操作无法检索 LogRhythm 中以下实体的事件:{entity.identifier}。” 如果所有实体的提取均失败 (is_success=false):“Action wasn't able to retrieve events for the provided entities in LogRhythm.” 如果至少一个实体没有数据 (is_success=true):“在 LogRhythm 中未找到以下实体对应的任何事件:{entity.identifier}。” 如果所有实体都没有数据 (is_success=false):“在 LogRhythm 中未找到所提供实体的任何事件。” 如果某个实体超时(is_success=true):“操作在执行期间超时。待处理的实体:{未返回数据的实体}。请在 IDE 中增加操作超时时间。” 异步消息:“正在等待以下实体的活动信息:{entity.identifier}” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等其他错误):“Error executing action "List Entity Events".”(执行操作“列出实体事件”时出错。)原因:{0}''.format(error.Stacktrace)" 如果所有实体都遇到超时问题 (is_success=false):“执行操作‘列出实体事件’时出错。”原因:操作在执行期间超时。未检索到所提供实体的相关活动信息。请在 IDE 中增加操作超时时间。” 如果“开始时间”形参为空,且“时间范围”形参设置为“自定义”(失败):“执行操作时出错。原因:当在‘时间范围’形参中选择‘自定义’时,应提供‘开始时间’。” 如果“开始时间”参数的值大于“结束时间”参数的值(失败):“执行操作时出错”。原因:“结束时间”应晚于“开始时间”。 如果要返回的最大商品数不大于 0:“执行操作时出错。原因:“要返回的最大事件数”应大于 0。” |
常规 |
| “案例墙”表格 | 表格名称:{entity.identifier} 表格列:
注意:如果至少有一条记录包含值,此列才会显示。 |
实体 |
连接器
LogRhythm Cases 连接器
说明
从 LogRhythm 中提取支持请求。
连接器参数
| 参数显示名称 | 类型 | 默认值 | 是必填字段 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 不适用 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | event_type | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | “” | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://{IP}:8501 | 是 | LogRhythm 实例的 API 根。 |
| API 令牌 | 密码 | 不适用 | 是 | LogRhythm API 令牌。 |
| 回溯的天数上限 | 整数 | 1 | 是 | 提取病例的天数。 |
| 最低提取优先级 | 整数 | 不适用 | 否 | 用于提取支持请求的最低优先级。 如果未提供任何内容,则注入所有优先级的支持请求。 可能的值:1 到 5。 |
| 提醒数量上限 | 整数 | 10 | 是 | 每次连接器迭代要处理的支持请求数量。 |
| CA 证书文件 | 字符串 | 不适用 | 否 | Base64 编码的 CA 证书文件。 |
| 将白名单用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,白名单将用作黑名单。 |
| 验证 SSL | 复选框 | 尚未核查 | 是 | 如果已启用,请验证与 LogRhythm 服务器的连接所用的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
LogRhythm - Rest API Alarms 连接器
说明
使用 REST API 从 LogRhythm 拉取提醒。
在 Google SecOps 中配置 LogRhythm - Rest API Alarms 连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | classificationTypeName | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://{IP}:8501 | 是 | LogRhythm 实例的 API 根。 |
| API 令牌 | 密码 | 不适用 | 是 | LogRhythm API 令牌。 |
| 回溯的小时数上限 | 整数 | 1 | 否 | 提取提醒的小时数。 |
| 要提取的闹钟数量上限 | 整数 | 10 | 否 | 每次连接器迭代要处理的提醒数量。 |
| 将白名单用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,白名单将用作黑名单。 |
| 验证 SSL | 复选框 | 尚未核查 | 是 | 如果已启用,请验证与 LogRhythm 服务器的连接所用的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
连接器规则
代理支持
连接器支持代理。
作业
同步支持请求评论
说明
此作业用于同步 LogRhythm 支持服务工单和 Google SecOps 支持服务工单中的评论。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://{IP}:8501 | 是 | LogRhythm 实例的 API 根。 |
| API 令牌 | 密码 | 不适用 | 是 | LogRhythm API 令牌。 |
| CA 证书文件 | 字符串 | 不适用 | 否 | Base64 编码的 CA 证书文件。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果已启用,请验证与 LogRhythm 服务器的连接所用的 SSL 证书是否有效。 |
同步已关闭的支持请求
说明
此作业用于同步已关闭的 LogRhythm 支持请求和 Google SecOps 提醒。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://{IP}:8501 | 是 | LogRhythm 实例的 API 根。 |
| API 令牌 | 密码 | 不适用 | 是 | LogRhythm API 令牌。 |
| CA 证书文件 | 字符串 | 不适用 | 否 | Base64 编码的 CA 证书文件。 |
| 回溯的小时数上限 | 整数 | 24 | 否 | 指定向后同步状态的小时数。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果已启用,请验证与 LogRhythm 服务器的连接所用的 SSL 证书是否有效。 |
同步闹钟注释
说明
此作业用于同步 LogRhythm 警报和 Google SecOps 支持服务工单中的评论。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://{IP}:8501 | 是 | LogRhythm 实例的 API 根。 |
| API 令牌 | 密码 | 不适用 | 是 | LogRhythm API 令牌。 |
| CA 证书文件 | 字符串 | 不适用 | 否 | Base64 编码的 CA 证书文件。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果已启用,请验证与 LogRhythm 服务器的连接所用的 SSL 证书是否有效。 |
同步已关闭的闹钟
说明
此作业用于同步已关闭的 LogRhythm 提醒和 Google SecOps 提醒。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://{IP}:8501 | 是 | LogRhythm 实例的 API 根。 |
| API 令牌 | 密码 | 不适用 | 是 | LogRhythm API 令牌。 |
| CA 证书文件 | 字符串 | 不适用 | 否 | Base64 编码的 CA 证书文件。 |
| 回溯的小时数上限 | 整数 | 24 | 否 | 指定向后同步状态的小时数。 |
| 验证 SSL | 复选框 | 勾选 | 是 | 如果已启用,请验证与 LogRhythm 服务器的连接所用的 SSL 证书是否有效。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。