LogRhythm
整合版本:17.0
自第 10 版起,這項整合服務將不再提供 Alarms Connector。由於 LogRhythm 方面已淘汰 SOAP API,因此這個連接器也已淘汰。現在整個整合程序都使用 LogRhythm 7.9 版本中推出的 REST API。
詳情請參閱「SOAP API (LogRhythm 7.x.x)」。
此外,整合項目已更新至 Python 3 版,因此不支援將這個連接器 (版本 9) 與新版整合項目 (版本 10) 搭配使用,否則會導致異常行為。
請按照建議流程更新:
將整合功能更新至第 10 版前,請先使用第 9 版的整合功能,將每個「LogRhythm Alarms Connector」遷移至「LogRhythm - Rest API Alarms Connector」。
將整合項目更新至版本 10。
在 Google Security Operations 中設定 LogRhythm 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://{IP}:8501 | 是 | LogRhythm 執行個體的 API 根目錄。 |
| API 權杖 | 密碼 | 不適用 | 否 | LogRhythm 執行個體的 API 權杖。 |
| CA 憑證檔案 | 字串 | 不適用 | 否 | Base64 編碼的 CA 憑證檔案。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 如果已啟用,請確認連線至 LogRhythm 伺服器的 SSL 憑證是否有效。 |
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 LogRhythm 的連線。
參數
不適用
用途
不適用
執行時間
這項動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「Successfully connected to the LogRhythm server with the provided connection parameters!」(已使用提供的連線參數成功連線至 LogRhythm 伺服器!) 動作應會失敗並停止執行應對手冊: 如果未成功:「Failed to connect to the LogRhythm server! Error is {0}".format(exception.stacktrace) |
一般 |
充實實體
說明
使用 LogRhythm 的資訊擴充實體。支援的實體:主機名稱、IP 位址。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 建立洞察資料 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會建立洞察資料,其中包含實體的所有擷取資訊。 |
執行日期
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"id": 2,
"entity": {
"id": 2,
"name": "EchoTestEntity"
},
"name": "EchoTestHost",
"shortDesc": "LogRhythm ECHO",
"riskLevel": "None",
"threatLevel": "None",
"threatLevelComments": "",
"recordStatusName": "Active",
"hostZone": "Internal",
"location": {
"id": -1
},
"os": "Windows",
"osVersion": "Microsoft Windows NT 6.2.9200.0",
"useEventlogCredentials": false,
"osType": "Server",
"dateUpdated": "2021-04-14T09:18:17.677Z",
"hostRoles": [],
"hostIdentifiers": [
{
"type": "IPAddress",
"value": "10.1.2.50",
"dateAssigned": "2021-04-14T09:17:31Z"
},
{
"type": "WindowsName",
"value": "EchoTestHost",
"dateAssigned": "2021-04-14T09:17:31Z"
}
]
}
實體擴充
| 補充資料欄位名稱 | 邏輯 - 適用時機 |
|---|---|
| 說明 | 以 JSON 格式提供時 |
| risk_level | 以 JSON 格式提供時 |
| threat_level | 以 JSON 格式提供時 |
| 狀態 | 以 JSON 格式提供時 |
| host_zone | 以 JSON 格式提供時 |
| os | 以 JSON 格式提供時 |
| 類型 | 以 JSON 格式提供時 |
| ips | 以 JSON 格式提供時 |
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: If 資料適用於一個實體 (is_success=true):「Successfully enriched the following entities using information from LogRhythm: {entity.identifier}」。 如果某個實體沒有可用資料 (is_success=true):「Action wasn't able to enrich the following entities using information from LogRhythm: {entity.identifier}」。 如果並非所有實體都有資料 (is_success=false):「None of the provided entities were enriched.」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『Enrich Entities』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 資料表名稱:{entity.identifier} | 實體 |
更新鬧鐘
說明
在 LogRhythm 中更新警報。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 鬧鐘 ID | 字串 | 不適用 | 是 | 指定要在 LogRhythm 中更新的警報 ID。 |
| 狀態 | DDL | 請選取一項 可能的值:
|
否 | 指定警報的狀態。 |
| 風險分數 | 整數 | 不適用 | 否 | 為警報指定新的風險分數。 上限:100 |
執行日期
這項動作會對下列實體執行:
- 網址
- IP 位址
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果 回報 200 狀態碼 (is_success=true):「Successfully updated alarm with ID {ID} in LogRhythm.」(已在 LogRhythm 中成功更新 ID 為 {ID} 的警報)。 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『更新警報』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果狀態碼不是 200:「執行動作『更新鬧鐘』時發生錯誤。原因:{0}''.format(responseMessage)" 如果「狀態」參數設為「選取一項」,但未提供其他值:「執行『更新警報』動作時發生錯誤。原因:至少一個動作參數應提供值。 |
一般 |
取得鬧鐘詳細資料
說明
在 LogRhythm 中取得警報詳細資料。這項動作可讓您從 LogRhythm Advanced Intelligence Engine (AIE) 事件取得詳細資料,並將這些資料擷取至 Google SecOps。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 鬧鐘 ID | CSV | 不適用 | 是 | 指定要擷取詳細資料的警報 ID 清單 (以半形逗號分隔)。 |
| 要擷取的事件數量上限 | 整數 | 50 | 否 | 指定要傳回的事件數。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
[
{
"alarmRuleID": 98,
"alarmId": 18755,
"personId": -100,
"alarmDate": "2021-08-17T13:36:39.78",
"alarmStatus": 0,
"alarmStatusName": "New",
"entityId": 2,
"entityName": "EchoTestEntity",
"alarmRuleName": "LogRhythm Agent Heartbeat Missed",
"lastUpdatedID": -100,
"lastUpdatedName": "LogRhythm Administrator",
"dateInserted": "2021-08-17T13:36:39.807",
"dateUpdated": "2021-08-17T13:36:39.86",
"associatedCases": [],
"lastPersonID": null,
"eventCount": 1,
"eventDateFirst": "2021-08-17T13:36:37.057",
"eventDateLast": "2021-08-17T13:36:37.057",
"rbpMax": 39,
"rbpAvg": 39,
"smartResponseActions": null,
"alarmDataCached": "N",
"alarmEventsDetails": [
{
"account": "admin5",
"action": "",
"amount": null,
"bytesIn": null,
"bytesOut": null,
"classificationId": 2600,
"classificationName": "Compromise",
"classificationTypeName": "Security",
"command": "",
"commonEventId": 1031412,
"cve": "",
"commonEventName": "AIE: CSC: Disabled Account Auth Success",
"count": 1,
"directionId": 0,
"directionName": "Unknown",
"domain": "",
"duration": 0,
"entityId": -1000001,
"entityName": "",
"group": "",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHostId": -1,
"impactedHostName": "",
"impactedInterface": "",
"impactedIP": null,
"impactedLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"impactedMAC": "",
"impactedName": "",
"impactedNATIP": "",
"impactedNATPort": null,
"impactedNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"impactedPort": -1,
"impactedZone": "Unknown",
"itemsPacketsIn": 0,
"itemsPacketsOut": 0,
"logDate": "2021-08-16T09:51:16.993",
"login": "admin5",
"logMessage": "",
"logSourceHostId": -1000001,
"logSourceHostName": "AI Engine Server",
"logSourceName": "AI Engine",
"logSourceTypeName": "LogRhythm AI Engine",
"messageId": 173885,
"mpeRuleId": -1,
"mpeRuleName": "",
"normalDateMax": "0001-01-01T00:00:00",
"objectName": "",
"objectType": "",
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHostName": "",
"originInterface": "",
"originIP": null,
"originLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"originMAC": "",
"originName": "",
"originNATIP": "",
"originNATPort": null,
"originNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"originPort": -1,
"originZone": "Unknown",
"parentProcessId": "",
"parentProcessName": "",
"parentProcessPath": "",
"policy": "",
"priority": 91,
"process": "",
"processId": -1,
"protocolId": -1,
"protocolName": "",
"quantity": 0,
"rate": 0,
"reason": "",
"recipient": "",
"result": "",
"responseCode": "",
"sender": "",
"session": "",
"recipientIdentityId": null,
"recipientIdentityName": ""
}
]
}
]
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果回報一個實體的 200 狀態碼 (is_success=true):「Successfully retrieved details for the following alarms in LogRhythm: {IDs}」(已成功擷取 LogRhythm 中下列警報的詳細資料:{ID}) 如果找不到任何警報 (is_success=true):「The following alarms were not found in LogRhythm: {IDs}」(LogRhythm 中找不到下列警報:{ID}) 如果找不到所有警報 (is_success=false):「None of the provided alarms were found in LogRhythm.」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤 (例如憑證錯誤、無法連線至伺服器或其他錯誤):「執行『取得警報詳細資料』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 表格名稱:Alarm {ID} Events 資料表資料欄:
|
一般 |
新增鬧鐘留言
說明
在 LogRhythm 中為警報新增註解。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 鬧鐘 ID | 字串 | 不適用 | 是 | 指定要在 LogRhythm 中新增註解的警報 ID。 |
| 註解 | 字串 | 不適用 | 是 | 指定要新增至鬧鐘的留言。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果回報 200 狀態碼 (is_success=true):「Successfully added comment to the alarm with ID {ID} in LogRhythm.」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證有誤、無法連線至伺服器或其他錯誤:「執行動作『Add Comment To Alarm』時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果狀態碼不是 200:「Error executing action "Add Comment To Alarm". 原因:{0}''.format(responseMessage) |
一般 |
列出案件證據
說明
在 LogRhythm 中列出案件證據。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 案件 ID | 字串 | 不適用 | 是 | 指定要傳回證據清單的案件 ID。 |
| 狀態篩選器 | CSV | 不適用 | 否 | 指定以半形逗號分隔的證據狀態篩選條件清單。 可能的值:pending、completed、failed。 如未提供任何內容,這項動作會傳回所有狀態的證據。 |
| 類型篩選器 | CSV | 不適用 | 否 | 指定證據的類型篩選條件清單 (以半形逗號分隔)。 可能的值:alarm、userEvents、log、note、file。 如未提供任何資訊,這項動作會傳回所有類型的證據。 |
| 要傳回的證據數量上限 | 整數 | 50 | 否 | 指定要傳回的證據數量。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
[
{
"number": 4,
"dateCreated": "2021-07-31T11:00:40.2433333Z",
"dateUpdated": "2021-07-31T11:00:40.2433333Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "test",
"pinned": false,
"datePinned": null,
"file": {
"name": "UploadCustomListTemplate .csv",
"size": 161
}
}
]
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果回報 200 狀態碼 (is_success=true):「Successfully listed evidence related to the case with ID {ID} in LogRhythm.」(已在 LogRhythm 中成功列出與 ID 為 {ID} 的案件相關的證據)。 如果沒有證據 (is_success=false):「No evidence was found for the case with ID {ID} in LogRhythm.」(LogRhythm 中找不到 ID 為 {ID} 的案件證據)。 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『列出案件證據』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果系統回報 404 狀態碼:「Error executing action "List Case Evidence". 原因:{0}''.format(message) 如果為「狀態」參數提供無效值:「執行動作『列出案件證據』時發生錯誤。原因:參數「狀態篩選器」提供的值無效:{invalid value}。可能的值:pending、completed、failed。 如果為「類型」參數提供無效值:「執行動作『列出案件證據』時發生錯誤。原因:參數「Type」中提供的值無效:{invalid value}。可能的值:alarm、userEvents、log、note、file。 |
一般 |
| 案件總覽 | 案件 {case id} 證據 類型 狀態 背景資訊 |
將警報新增至案件
說明
在 LogRhythm 中為案件新增警報。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 案件 ID | 字串 | 不適用 | 是 | 指定要新增警報的案件 ID。 |
| 鬧鐘 ID | CSV | 不適用 | 是 | 指定要新增至案件的警報清單 (以半形逗號分隔)。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
[
{
"number": 23,
"dateCreated": "2021-08-11T09:02:17.0066667Z",
"dateUpdated": "2021-08-11T09:02:17.0066667Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15298,
"alarmDate": "2021-07-30T02:07:29.813+03:00",
"alarmRuleId": 1000,
"alarmRuleName": "AIE: ISO-27001: File Monitoring Event-File Changes",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": -100,
"entityName": "Global Entity",
"riskBasedPriorityMax": 1
}
},
{
"number": 24,
"dateCreated": "2021-08-11T09:03:18.65Z",
"dateUpdated": "2021-08-11T09:03:18.65Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15297,
"alarmDate": "2021-07-30T02:07:28.353+03:00",
"alarmRuleId": 1419,
"alarmRuleName": "AIE: CCF: FIM General Activity",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": 1,
"entityName": "Primary Site",
"riskBasedPriorityMax": 0
}
}
]
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果回報 201 狀態碼 (is_success=true):「Successfully added alarm evidence related to the case with ID {ID} in LogRhythm.」(已在 LogRhythm 中成功新增與 ID 為 {ID} 的案件相關的警報證據)。 如果系統回報 200 狀態碼 (is_success=true):「提供的所有警報證據已納入 LogRhythm 中 ID 為 {ID} 的案件。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『將警報新增至案件』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果系統回報 404 狀態碼:「執行『將警報新增至案件』動作時發生錯誤。原因:{0}''.format(message or details) |
一般 |
將檔案附加至案件
說明
在 LogRhythm 中將檔案附加至案件。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 案件 ID | 字串 | 不適用 | 是 | 指定要附加檔案的案件 ID。 |
| 檔案路徑 | CSV | 不適用 | 是 | 指定以半形逗號分隔的絕對檔案路徑清單。 |
| 注意事項 | 字串 | 不適用 | 否 | 指定要與檔案一併新增至案件的附註。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
[
{
"number": 26,
"dateCreated": "2021-08-11T09:17:33.91Z",
"dateUpdated": "2021-08-11T09:17:33.91Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"file": {
"name": "Get Deep Visibility Query Result_JsonResultSample.json",
"size": 4979
}
}
]
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果已完成一個檔案的作業 path (is_success=true):「Successfully added the following files to the case with ID {ID} in LogRhythm.」(已成功將下列檔案新增至 LogRhythm 中 ID 為 {ID} 的案件)。 如果一個檔案路徑失敗 (is_success= true):「Action wasn't able to add the following files to the case with ID {ID} in LogRhythm: {failed file paths}」。 如果所有檔案路徑都失敗 (is_success=false):「No files were added to the case with ID {ID} in LogRhythm.」(LogRhythm 中沒有新增任何檔案至 ID 為 {ID} 的案件)。 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「Error executing action "Attach File To Case". 原因:{0}''.format(error.Stacktrace) 如果系統回報 404 狀態碼:「Error executing action "Attach File To Case". 原因:{0}''.format(message) 如果發生逾時問題:「Error executing action "Attach File To Case". 原因:動作逾時。以下檔案仍在處理中:{pending files}。請在 IDE 中增加逾時時間。注意:如果新增相同檔案,LogRhythm 會建立個別項目。 |
一般 |
將附註新增至案件
說明
在 LogRhythm 中為案件新增附註。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 案件 ID | 字串 | 不適用 | 是 | 指定要新增附註的案件 ID。 |
| 注意事項 | 字串 | 不適用 | 是 | 指定要新增至案件的附註。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"number": 29,
"dateCreated": "2021-08-11T12:21:11.5547306Z",
"dateUpdated": "2021-08-11T12:21:11.5547306Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "note",
"status": "completed",
"statusMessage": null,
"text": "asdasd",
"pinned": false,
"datePinned": null
}
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果回報 201 狀態碼 (is_success=true):「Successfully added a note to the case with ID {ID} in LogRhythm.」(已在 LogRhythm 中成功為 ID 為 {ID} 的案件新增附註)。 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證有誤、無法連線至伺服器或其他錯誤:「執行『將記事新增至案件』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果系統回報 404 狀態碼:「Error executing action "Add Note To Case". 原因:{0}''.format(message) |
一般 |
建立客服案件
說明
在 LogRhythm 中建立案件。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 名稱 | 字串 | 不適用 | 是 | 指定案件名稱。 |
| 優先順序 | DDL | 1 可能的值:
|
是 | 指定案件的優先順序。 |
| 截止日 | 字串 | 不適用 | 否 | 指定案件的截止日期。 格式:ISO 8601 範例:2021-04-23T12:38Z |
| 說明 | 字串 | 不適用 | 否 | 指定案件說明。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:37:42.8942168Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果回報 201 狀態碼 (is_success=true):「Successfully created case {number} in LogRhythm.」(已在 LogRhythm 中成功建立案件 {number}。) 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「Error executing action "Create Case"。原因:{0}''.format(error.Stacktrace) 如果系統回報 404 狀態碼:「Error executing action "Create Case". 原因:{0}''.format(message) |
一般 |
可更新客服案件
說明
在 LogRhythm 中更新案件。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 案件 ID | 字串 | 不適用 | 是 | 指定需要更新的案件 ID。 |
| 名稱 | 字串 | 不適用 | 否 | 指定案件的新名稱。 |
| 優先順序 | DDL | 請選取一項 可能的值:
|
否 | 指定案件的新優先順序。 |
| 截止日 | 字串 | 不適用 | 否 | 為案件指定新的截止日期。 格式:ISO 8601 範例:2021-04-23T12:38Z |
| 說明 | 字串 | 不適用 | 否 | 指定案件的新說明。 |
| 解析度 | 字串 | 不適用 | 否 | 指定案件的解決方式。 |
| 狀態 | DDL | 請選取一項 可能的值:
|
否 | 指定案件的新狀態。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:48:52.9765558Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果 回報 201 狀態碼 (is_success=true):「Successfully updated case {ID} in LogRhythm.」(已成功更新 LogRhythm 中的案件 {ID}。) 動作應會失敗並停止執行應對手冊: 如果 發生重大錯誤 (例如憑證錯誤、無法連線至伺服器或其他錯誤),系統會回報:「Error executing action "Update Case". Reason: {0}''.format(error.Stacktrace)" 如果系統回報 404 狀態碼:「Error executing action "Update Case". 原因:{0}''.format(message) 如果狀態碼為 400:「Error executing action "Update Case". Reason: {0}''.format(validationErrors)" 如果「狀態」或「優先順序」參數設為「選取一項」,但未提供任何其他值:「執行『更新案件』動作時發生錯誤。原因:至少一個動作參數應提供值。 |
一般 |
下載案件檔案
說明
在 LogRhythm 中下載與案件相關的檔案。
參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 案件 ID | 字串 | 不適用 | 是 | 指定要下載檔案的案件 ID。 |
| 下載資料夾路徑 | 字串 | 不適用 | 是 | 指定要儲存案件檔案的資料夾路徑。 |
| 覆寫 | 布林值 | 否 | 是 | 如果啟用這項設定,系統會覆寫名稱相同的檔案。 |
執行日期
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{"absolute_file_paths": ["file_path_1","file_path_2"]}
``` ##### Entity
Enrichment
N/A
##### Insights
N/A
##### Case Wall
<table>
<thead>
<tr>
<th><strong>Result type</strong></th>
<th><strong>Value/Description</strong></th>
<th><strong>Type</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Output message*</td>
<td><p><strong>The action should not fail nor stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If the</em> <strong></strong> <em>200 status code for all cases is reported (is_success=true):</em> "Successfully downloaded files related to case with ID {ID} in LogRhythm."</p><p></p><p><em>If no files are found (is_success=true): "</em>No related files were found for the case with ID {ID} in LogRhythm."</p><p></p><p><strong>The action should fail and stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If a</em> <strong></strong> <em>fatal error, like wrong credentials, no connection to the server, other is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(error.Stacktrace)"</p><p></p><p><em>If the 404 status code is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(message)"</p><p></p><p><em>If a file with the same name already exists, but "Overwrite" is set to false:</em> "Error executing action "Download Case Files". Reason: files with path {0} already exist. Please delete the files or set "Overwrite" to true."</p></td>
<td>General</td>
</tr>
</tbody>
</table>
### List Entity Events
#### Description
List events related to entities in LogRhythm. Supported entities: Hostname, IP
Address, User, CVE, Hash, URL.
Note: This action runs as async. Adjust the script timeout value in the
Google SecOps IDE for the action as needed.
#### Parameters
<table>
<thead>
<tr>
<th><strong>Parameter Display Name</strong></th>
<th><strong>Type</strong></th>
<th><strong>Default Value</strong></th>
<th><strong>Is Mandatory</strong></th>
<th><strong>Description</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Time Frame</td>
<td>DDL</td>
<td><p>Last Hour</p><p><strong></strong></p><p>Possible Values: </p><ul><li>Last Hour</li><li>Last 6 Hours</li><li>Last 24 Hours</li><li>Last Week</li><li>Last Month</li><li>Custom</li></ul></td>
<td>No</td>
<td>Name of the watchlist from which you want to remove values.</td>
</tr>
<tr>
<td>Start Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the start time for the results.</p><p></p><p>This parameter is mandatory, if "Custom" is selected for the "Time Frame" parameter. </p><p></p><p>Format: ISO 8601</p><p></p><p>Example: 2021-04-23T12:38Z</p></td>
</tr>
<tr>
<td>End Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the end time for the results. </p><p></p><p>If nothing is provided and "Custom" is selected for the "Time Frame" parameter then this parameter uses current time.</p><p></p><p>Format: ISO 8601</p></td>
</tr>
<tr>
<td>Sort Order</td>
<td>DDL</td>
<td><p>Datetime ASC <strong></strong> </p><p></p><p>Possible values:</p><ul><li>Datetime ASC</li><li>Datetime DESC</li><li>Risk ASC</li><li>RiskDESC</li></ul></td>
<td>No</td>
<td>Specify the sorting logic for the query.</td>
</tr>
<tr>
<td>Max Events To Return</td>
<td>Integer</td>
<td>50</td>
<td>No</td>
<td>Specify the number of events to return.</td>
</tr>
</tbody>
</table>
#### Run On
This action runs on the following entities:
* Hostname
* IP Address
* User
* CVE
* Hash
* URL
#### Action Results
##### Script Result
<table>
<thead>
<tr>
<th><strong>Script Result Name</strong></th>
<th><strong>Value Options</strong></th>
<th><strong>Example</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>is_success</td>
<td>True/False</td>
<td>is_success:False</td>
</tr>
</tbody>
</table>
##### JSON Result
```json
{
"kBytes": 2521.025390625,
"kBytesIn": 2500.0,
"kBytesOut": 21.025390625,
"outboundKBytes": 21.025390625,
"impactedHostTotalKBytes": 2521.025390625,
"keyField": "messageId",
"count": 1,
"classificationId": 3200,
"classificationName": "Error",
"classificationTypeName": "Operations",
"commonEventName": "HTTP 504 : Server Error - Gateway Time-Out",
"commonEventId": 8938,
"direction": 3,
"directionName": "External",
"entityId": 2,
"entityName": "EchoTestEntity",
"rootEntityId": 2,
"rootEntityName": "EchoTestEntity",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHost": "192.0.2.11",
"impactedInterface": "0",
"impactedIp": "192.0.2.11",
"impactedPort": 80,
"impactedZoneName": "External",
"indexedDate": 1629460029041,
"insertedDate": 1629123439811,
"logDate": 1629134239789,
"logMessage": "CISCONGFW EVENT Ev_Id=436 Ev",
"logSourceHost": "EchoTestHost",
"logSourceHostId": 2,
"logSourceHostName": "EchoTestHost",
"logSourceId": 15,
"logSourceName": "Echo_2_1000107",
"logSourceType": 1000107,
"logSourceTypeName": "Flat File - Cisco NGFW",
"messageId": "23066",
"messageTypeEnum": 2,
"mpeRuleId": 1176829,
"mpeRuleName": "HTTP 504 : Server Error : Gateway Timeout",
"normalDate": 1629123439791,
"normalDateMin": 1629123439791,
"normalMsgDateMax": 1629123439791,
"normalDateHour": 1629122400000,
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHost": "192.0.2.12",
"originInterface": "0",
"originIp": "192.0.2.12",
"originPort": 14042,
"originZone": 3,
"originZoneName": "External",
"priority": 38,
"process": "5",
"processId": 300003,
"protocolId": 6,
"protocolName": "TCP",
"serviceId": 1388,
"serviceName": "HTTP",
"portProtocol": "HTTP",
"session": "436",
"severity": "57",
"url": "http://www.google.com/",
"vendorMessageId": "504",
"version": "2",
"status": "504"
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果找到一個實體的資料 (is_success=true):「Successfully retrieved events for the following entities in LogRhythm: {entity.identifier}.」(已成功擷取 LogRhythm 中下列實體的事件:{entity.identifier}。) 如果一個實體失敗 (is_success=true):「Action wasn't able to retrieve events for the following entities in LogRhythm: {entity.identifier}.」(動作無法擷取 LogRhythm 中下列實體的事件:{entity.identifier}。) 如果所有實體都失敗 (is_success=false):「Action wasn't able to retrieve events for the provided entities in LogRhythm.」(動作無法在 LogRhythm 中擷取所提供實體的事件)。 如果至少有一個實體沒有資料 (is_success=true):「在 LogRhythm 中找不到下列實體的事件:{entity.identifier}。」 如果所有實體都沒有資料 (is_success=false):「LogRhythm 中找不到所提供實體的事件。」 如果某個實體發生逾時情形 (is_success=true):「動作在執行期間逾時。待處理的實體:{entities that didn't return data}。請在 IDE 中增加動作逾時時間。」 非同步訊息:「等待下列實體的活動資訊:{entity.identifier}」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行動作『列出實體事件』時發生錯誤。Reason: {0}''.format(error.Stacktrace)" 如果所有實體都發生逾時情形 (is_success=false):「Error executing action "List Entity Events". 原因:動作在執行期間逾時。系統未擷取所提供實體的事件資訊。請在 IDE 中增加動作逾時時間。」 如果「開始時間」參數為空白,且「時間範圍」參數設為「自訂」(失敗):「執行動作時發生錯誤」。原因:「時間範圍」參數選取「自訂」時,應提供「開始時間」。 如果「開始時間」參數的值大於「結束時間」參數的值 (失敗):「執行動作時發生錯誤」。原因:「結束時間」應晚於「開始時間」。 如果要傳回的項目數量上限不大於 0:「執行動作時發生錯誤」。原因:「要傳回的事件數量上限」應大於 0。 |
一般 |
| 案件總覽表格 | 資料表名稱:{entity.identifier} 資料表資料欄:
注意:如果至少有一筆記錄含有值,系統就會顯示這個資料欄。 |
實體 |
連接器
LogRhythm Cases 連接器
說明
從 LogRhythm 提取案件。
連結器參數
| 參數顯示名稱 | 類型 | 預設值 | 是否為必要項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 不適用 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | event_type | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根目錄 | 字串 | https://{IP}:8501 | 是 | LogRhythm 執行個體的 API 根目錄。 |
| API 權杖 | 密碼 | 不適用 | 是 | LogRhythm API 權杖。 |
| 最多可回溯的天數 | 整數 | 1 | 是 | 要擷取案件的天數。 |
| 要擷取的最低優先順序 | 整數 | 不適用 | 否 | 用於擷取案件的最低優先順序。 如未提供任何優先順序,系統會擷取所有優先順序的案件。 可能的值:1 到 5。 |
| 快訊數量上限 | 整數 | 10 | 是 | 每個連接器疊代要處理的案件數。 |
| CA 憑證檔案 | 字串 | 不適用 | 否 | Base64 編碼的 CA 憑證檔案。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將許可清單視為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 如果已啟用,請確認連線至 LogRhythm 伺服器的 SSL 憑證是否有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
LogRhythm - Rest API Alarms Connector
說明
使用 Rest API 從 LogRhythm 提取警報。
在 Google SecOps 中設定 LogRhythm - Rest API Alarms 連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 產品名稱 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | classificationTypeName | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https://{IP}:8501 | 是 | LogRhythm 執行個體的 API 根目錄。 |
| API 權杖 | 密碼 | 不適用 | 是 | LogRhythm API 權杖。 |
| 可倒轉的小時數上限 | 整數 | 1 | 否 | 要擷取快訊的小時數。 |
| 要擷取的鬧鐘數量上限 | 整數 | 10 | 否 | 每個連接器疊代要處理的快訊數量。 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將許可清單視為封鎖清單。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 如果已啟用,請確認連線至 LogRhythm 伺服器的 SSL 憑證是否有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
工作
同步處理案件留言
說明
這項工作會同步處理 LogRhythm 案件和 Google SecOps 案件中的註解。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根目錄 | 字串 | https://{IP}:8501 | 是 | LogRhythm 執行個體的 API 根目錄。 |
| API 權杖 | 密碼 | 不適用 | 是 | LogRhythm API 權杖。 |
| CA 憑證檔案 | 字串 | 不適用 | 否 | Base64 編碼的 CA 憑證檔案。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果已啟用,請確認連線至 LogRhythm 伺服器的 SSL 憑證是否有效。 |
同步處理已結案的案件
說明
這項工作會同步處理已結案的 LogRhythm 案件和 Google SecOps 警報。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根目錄 | 字串 | https://{IP}:8501 | 是 | LogRhythm 執行個體的 API 根目錄。 |
| API 權杖 | 密碼 | 不適用 | 是 | LogRhythm API 權杖。 |
| CA 憑證檔案 | 字串 | 不適用 | 否 | Base64 編碼的 CA 憑證檔案。 |
| 可倒轉的小時數上限 | 整數 | 24 | 否 | 指定要回溯同步處理狀態的小時數。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果已啟用,請確認連線至 LogRhythm 伺服器的 SSL 憑證是否有效。 |
同步處理警報註解
說明
這項工作會同步處理 LogRhythm 警報和 Google SecOps 案件中的留言。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根目錄 | 字串 | https://{IP}:8501 | 是 | LogRhythm 執行個體的 API 根目錄。 |
| API 權杖 | 密碼 | 不適用 | 是 | LogRhythm API 權杖。 |
| CA 憑證檔案 | 字串 | 不適用 | 否 | Base64 編碼的 CA 憑證檔案。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果已啟用,請確認連線至 LogRhythm 伺服器的 SSL 憑證是否有效。 |
同步處理已關閉的鬧鐘
說明
這項工作會同步處理已關閉的 LogRhythm 警報和 Google SecOps 快訊。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根目錄 | 字串 | https://{IP}:8501 | 是 | LogRhythm 執行個體的 API 根目錄。 |
| API 權杖 | 密碼 | 不適用 | 是 | LogRhythm API 權杖。 |
| CA 憑證檔案 | 字串 | 不適用 | 否 | Base64 編碼的 CA 憑證檔案。 |
| 可倒轉的小時數上限 | 整數 | 24 | 否 | 指定要回溯同步處理狀態的小時數。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 是 | 如果已啟用,請確認連線至 LogRhythm 伺服器的 SSL 憑證是否有效。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。