QRadar
Versión de la integración: 56.0
Implementaciones de QRadar compatibles
Esta integración admite implementaciones de QRadar locales y en la nube.
Acceso de red a QRadar
Acceso a la API de Google Security Operations a QRadar: Permite el tráfico a través del puerto 443 (HTTPS) o según se haya configurado en tu entorno.
Cómo establecer permisos de QRadar
Cuando creas un usuario y un perfil de seguridad dedicados de Google SecOps en QRadar (como se describe en los siguientes pasos), obtienes un control más detallado sobre los permisos. Este enfoque es opcional, pero se recomienda.
Una integración de QRadar también puede funcionar con una cuenta de administrador existente.
Crea un usuario de Google SecOps {:.hide-from-toc}
En QRadar, haz clic en el ícono de la esquina superior izquierda.
Ve a Administrador y haz clic en Usuarios.
Haz clic en Nuevo y completa la información para crear un usuario administrador nuevo.
Crea un perfil de seguridad de Google SecOps
Ve a Admin > User Management > Security Profiles.
Crea un perfil con los siguientes parámetros de configuración:
- Precedencia de permisos: Sin restricciones
- Fuentes del registro: Todos los grupos de fuentes del registro
- Red: Todas
- Dominios: Todos los dominios
Implementa los cambios
Haz clic en Implementar en la pantalla.
Crea un servicio autorizado para acceder a la API
Ve a Administrador > Administración de usuarios > Servicios autorizados.
Crea un servicio con la siguiente configuración:
- Nombre del servicio: Siemplify_Application_User
- Rol del usuario: administrador
- Perfil de seguridad: admin
- Fecha de vencimiento: Sin vencimiento
Copia la clave de autenticación generada y úsala en la configuración de integración de Google SecOps (Asistente de implementación).
Configura la integración de QRadar en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| Raíz de la API | String | https://IP_ADDRESS |
Sí | Es la ruta de URL que apunta al servidor de QRadar. |
| Token de API | Contraseña | N/A | Sí | Es el token de seguridad de la API para la autenticación. |
| Versión de API | String | N/A | No | Es la versión de la API que se usó. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Marca la casilla para ejecutar la integración configurada de forma remota. Una vez que se marca, aparece la opción para seleccionar al usuario remoto (agente). |
Acciones
Búsqueda de flujos similares
Descripción
Ejecuta una consulta de AQL predefinida para encontrar flujos relacionados con la entidad de dirección IP de Google SecOps especificada.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Delta de tiempo en minutos | Número entero | 10 | No | Recupera los flujos de los últimos X minutos. El parámetro acepta valores numéricos, por ejemplo, 10. |
| Límite de flujos para recuperar | Número entero | 23 | Sí | Limita los flujos que puede devolver la acción. El parámetro acepta valores numéricos, por ejemplo, 10. |
| Campos para mostrar | String | N/A | No | Son los campos que se recuperarán del flujo, además de los predefinidos. Si no se configura, la acción devuelve campos predefinidos para el flujo. |
| Nombre del campo de dirección IP de origen | String | N/A | No | Son los campos que representan el campo de dirección IP de origen del flujo. |
| Nombre del campo de dirección IP de destino | String | N/A | No | Son los campos que representan el campo de dirección IP de destino del flujo. |
Ejemplo de caso de uso de la guía
Obtiene información de QRadar sobre los flujos registrados para la dirección IP específica durante los últimos X minutos.
Fecha de ejecución
Esta acción se ejecuta en la entidad Dirección IP.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"flows": [
{
"destinationflags": 27,
"destinationpackets": 5.0,
"sourcebytes": 522.0,
"protocolid": 6,
"sourceip": "195.200.72.148",
"destinationbytes": 571.0,
"lastpackettime": 1585057251000,
"sourceflags": 27,
"sourcepackets": 5.0,
"qid": 53268795,
"flowtype": 0,
"destinationip": "37.28.155.22",
"firstpackettime": 1585057224000,
"category": 18448,
"source hostname": null,
"destination hostname": null
},
{
"destinationflags": null,
"destinationpackets": 0.0,
"sourcebytes": 78.0,
"protocolid": 17,
"sourceip": "195.200.72.148",
"destinationbytes": 0.0,
"lastpackettime": 1585057220000,
"sourceflags": null,
"sourcepackets": 1.0,
"qid": 53258563,
"flowtype": 0,
"destinationip": "8.8.8.8",
"firstpackettime": 1585057177000,
"category": 18438,
"source hostname": null,
"destination hostname": null
},
...
]
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
| Tabla | Flujos similares para la entidad: {0}".format(Siemplify.entity.identifier) Headers:… |
Entidad |
Consulta de eventos similares
Descripción
Ejecuta una consulta de AQL predefinida para encontrar eventos relacionados con las entidades de dirección IP, nombre de host o nombre de usuario de Google SecOps especificadas.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Delta de tiempo en minutos | Número entero | 10 | No | Recupera los flujos de los últimos X minutos. El parámetro acepta valores numéricos, por ejemplo, 10. |
| Límite de eventos para recuperar | Número entero | 25 | Sí | Limita los eventos que puede devolver la acción. El parámetro acepta valores numéricos, por ejemplo, 25. |
| Campos para mostrar | CSV | N/A | No | Son los campos que se recuperarán del evento, además de los predefinidos. Si no se configura, la acción devuelve campos predefinidos para el evento. |
| Nombre del campo Nombre de host | String | N/A | No | Campo que representa el campo Nombre de host del evento. |
| Nombre del campo de dirección IP de origen | String | N/A | No | Son los campos que representan el campo de dirección IP de origen del flujo. |
| Nombre del campo de dirección IP de destino | String | N/A | No | Son los campos que representan el campo de dirección IP de destino del flujo. |
| Nombre del campo de nombre de usuario | String | N/A | No | Son los campos que representan el campo Nombre de usuario del evento. |
Ejemplo de casos de uso
Obtiene información de QRadar sobre los eventos registrados para la entidad especificada durante los últimos X minutos.
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
- Usuario
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"events": [
{
"starttime": 1585288010745,
"protocolid": 255,
"sourceip": "10.0.100.250",
"logsourceid": 62,
"qid": 18750001,
"sourceport": 0,
"eventcount": 1,
"magnitude": 10,
"identityip": "0.0.0.0",
"destinationip": "10.0.100.250",
"destinationport": 0,
"category": 10008,
"username": null,
"hostname": null
},
{
"starttime": 1585288010745,
"protocolid": 255,
"sourceip": "10.0.100.250",
"logsourceid": 62,
"qid": 18750001,
"sourceport": 0,
"eventcount": 1,
"magnitude": 10,
"identityip": "0.0.0.0",
"destinationip": "10.0.100.250",
"destinationport": 0,
"category": 10008,
"username": null,
"hostname": null
},
...
]
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
| Tabla | Flujos similares para la entidad: {0}".format(Siemplify.entity.identifier) Headers:… |
Entidad |
Búsqueda en AQL de QRadar
Descripción
Ejecuta una consulta de AQL arbitraria en la instancia de QRadar. La acción devuelve un resultado en formato CSV.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Formato de la consulta | String | N/A | Sí | Formato de la consulta que se ejecutará. Por ejemplo, "Select * from flows limit 10 last 10 minutes". |
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| resultados | N/A | N/A |
Resultado de JSON
{
"events": [
{
"username": "None",
"category": 4003,
"starttime": 1548682790158,
"destinationip": "1.1.1.1",
"eventcount": 13,
"qid": 20257872,
"magnitude": 3,
"destinationport": 53,
"protocolid": 17,
"sourceport": 50597,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}, {
"username": "None",
"category": 8053,
"starttime": 1548682800217,
"destinationip": "1.1.1.1",
"eventcount": 1,
"qid": 20280296,
"magnitude": 3,
"destinationport": 443,
"protocolid": 6,
"sourceport": 49230,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}
]
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía
La acción debería fallar y detener la ejecución de la guía:
|
General |
| Tabla | "Resultados de la búsqueda" Encabezados:… |
General |
Ping
Descripción
Prueba la conectividad a una instancia de QRadar.
Parámetros
N/A
Casos de uso previstos
Probar si el acceso al sistema de destino se realiza correctamente o no con los parámetros proporcionados en la configuración de integración de la página de Google Security Operations Marketplace
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía.
La acción debería fallar y detener la ejecución de la guía:
|
General |
Buscar un valor en el conjunto de referencia
Descripción
Comprueba si un valor aparece en un conjunto de referencia específico.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre | String | N/A | Sí | Nombre del conjunto de referencia para verificar un valor. |
| Valor | String | N/A | Sí | Es el valor que se verificará en un conjunto al que se hace referencia. |
Ejemplo de caso de uso de la guía
Se detectó que una IP es maliciosa en la ejecución del playbook. Verifica si aparece en el conjunto de referencia Malicious_IPs.
Fecha de ejecución
Esta acción no se ejecuta en las entidades de Google SecOps.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"timeout_type": "FIRST_SEEN",
"number_of_elements": 1,
"data": [
{
"last_seen": 1611149814345,
"first_seen": 1611149814345,
"source": "admin",
"value": "192.168.10.230",
"domain_id": null
}
],
"creation_time": 1440695740583,
"name": "Critical Assets",
"namespace": "SHARED",
"element_type": "IP",
"collection_id": 20
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Esta acción no debería fallar ni detener la ejecución de la guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
Cómo buscar un valor en un mapa de referencia
Descripción
Comprueba si un valor aparece en un mapa de referencia específico.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre | String | N/A | Sí | Nombre del mapa de referencia para verificar un valor. |
| Valor | String | N/A | Sí | Es el valor que se verificará en un mapa al que se hace referencia. |
Ejemplo de caso de uso de la guía
Comprueba si un nombre de usuario tiene permiso para acceder a una IP determinada según los valores del mapa de referencia.
Fecha de ejecución
Esta acción no se ejecuta en las entidades de Google SecOps.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"1001": {
"last_seen": 1583903726952,
"first_seen": 1583903726952,
"source": "reference data api",
"value": "jack"
}
}
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Esta acción no debería fallar ni detener la ejecución de la guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
Búsqueda de un valor en el mapa de referencia de conjuntos
Descripción
Comprueba si un valor aparece en un mapa de referencia específico de conjuntos.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre | String | N/A | Sí | Es el nombre del mapa de referencia de conjuntos para verificar un valor. |
| Valor | String | N/A | Sí | Es el valor que se verificará en un mapa de conjuntos al que se hace referencia. |
Ejemplo de casos de uso
Verifica si un nombre de usuario tiene permiso para acceder a una IP determinada según el mapa de referencia de setvalues.
Fecha de ejecución
Esta acción se ejecuta en las entidades de Google SecOps.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
"data": {
"192.168.1.1": [
{
"last_seen": 1583912905418,
"first_seen": 1583912905418,
"source": "reference data api",
"value": "jack, john, huey"
},
{
"last_seen": 1583913398524,
"first_seen": 1583913398524,
"source": "reference data api",
"value": "zz"
},
{
"last_seen": 1583913639025,
"first_seen": 1583913639025,
"source": "reference data api",
"value": "jane"
}
]
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Esta acción no debería fallar ni detener la ejecución de la guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
Cómo buscar un valor en tablas de referencia
Descripción
Comprueba si un valor aparece en una tabla de referencia específica.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre | String | N/A | Sí | Nombre de la tabla de referencia para verificar un valor. |
| Valor | String | N/A | Sí | Es el valor que se verificará en una tabla a la que se hace referencia. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"Source_IP": {
"port": {
"last_seen": 1583933682283,
"first_seen": 1583933682283,
"source": "reference data api",
"value": "8080"
}
},
"192.168.1.1": {
"port": {
"last_seen": 1583990995600,
"first_seen": 1583990995600,
"source": "reference data api",
"value": "8080"
}
}
}
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Esta acción no debería fallar ni detener la ejecución de la guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
Búsqueda de una clave en el mapa de referencia
Descripción
Comprueba si una clave aparece en un mapa de referencia específico.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre | String | N/A | Sí | Nombre del mapa de referencia para verificar un valor. |
| Clave | String | N/A | Sí | Es la clave que se verificará en un mapa de referencia. |
Ejemplo de casos de uso
Comprueba si un nombre de usuario tiene permiso para acceder a una IP determinada según los valores del mapa de referencia.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"data": {
"1001": {
"last_seen": 1583903726952,
"first_seen": 1583903726952,
"source": "reference data api",
"value": "jack"
}
}
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | Esta acción no debería fallar ni detener la ejecución de la guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
Busca una clave en el mapa de referencia de conjuntos.
Descripción
Comprueba si una clave aparece en un mapa de referencia específico de conjuntos.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre | String | N/A | Sí | Es el nombre del mapa de referencia de conjuntos para verificar un valor. |
| Clave | String | N/A | Sí | Es la clave que se debe verificar en un mapa de conjuntos al que se hace referencia. |
Ejemplo de casos de uso
Verifica si un nombre de usuario tiene permiso para acceder a una IP determinada según el mapa de referencia de los valores establecidos.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
"data": {
"192.168.1.1": [
{
"last_seen": 1583912905418,
"first_seen": 1583912905418,
"source": "reference data api",
"value": "jack, john, huey"
},
{
"last_seen": 1583913398524,
"first_seen": 1583913398524,
"source": "reference data api",
"value": "zz"
},
{
"last_seen": 1583913639025,
"first_seen": 1583913639025,
"source": "reference data api",
"value": "jane"
}
]
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* |
Esta acción no debería fallar ni detener la ejecución de la guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
Enumera conjuntos de referencia
Descripción
Enumera los conjuntos de referencia disponibles en QRadar.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Campos que se devolverán | String | N/A | No | Especifica los campos que debe devolver la acción. Si no se proporciona nada, la acción devuelve todos los campos disponibles de forma predeterminada. El parámetro acepta varios valores separados por comas. |
| Condición del filtro | String | N/A | No | Especifica una condición de filtro para devolver solo elementos específicos, por ejemplo, element_type = IP. |
| Cantidad de elementos que se devolverán | Número entero | 25 | Sí | Especifica la cantidad máxima de elementos que devolverá la acción. |
Ejemplo de casos de uso
Enumera los elementos disponibles para la referencia.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"name": "Critical Assets",
"element_type": "IP"
},
{
"name": "Asset Reconciliation IPv4 Blocklist",
"element_type": "IP"
},
{
"name": "Proxy Servers",
"element_type": "IP"
}
]
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* |
Esta acción no debería fallar ni detener la ejecución de la guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
Enumera los mapas de referencia
Descripción
Enumera los mapas de referencia disponibles en QRadar.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Campos que se devolverán | String | N/A | No | Especifica los campos que debe devolver la acción. Si no se proporciona nada, la acción devuelve todos los campos disponibles de forma predeterminada. Este parámetro acepta varios valores separados por comas. |
| Condición del filtro | String | N/A | No | Especifica una condición de filtro para devolver solo elementos específicos, por ejemplo, element_type = ALNIC. |
| Cantidad de elementos que se devolverán | Número entero | 25 | Sí | Especifica la cantidad máxima de elementos que devolverá la acción. |
Ejemplo de casos de uso
Enumera los elementos disponibles para la referencia.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"name": "User1",
"element_type": "ALNIC"
},
{
"name": "User",
"element_type": "ALNIC"
}
]
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* |
Esta acción no debería fallar ni detener la ejecución de la guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
Enumera los mapas de referencia de conjuntos
Descripción
Enumera los mapas de referencia de los conjuntos disponibles en QRadar.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Campos que se devolverán | String | N/A | No | Especifica los campos que debe devolver la acción. Si no se proporciona nada, la acción devuelve todos los campos disponibles de forma predeterminada. Este parámetro acepta varios valores separados por comas. |
| Condición del filtro | String | N/A | No | Especifica una condición de filtro para devolver solo elementos específicos, por ejemplo: element_type = ALN |
| Cantidad de elementos que se devolverán | Número entero | 25 | Sí | Especifica la cantidad máxima de elementos que devolverá la acción. |
Ejemplo de casos de uso
Enumera los elementos disponibles para la referencia.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"name": "CorrelatedAttackMap",
"element_type": "ALN"
},
{
"name": "TestMapOfSets",
"element_type": "ALN"
}
]
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* |
Esta acción no debería fallar ni detener la ejecución de la guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
Enumera las tablas de referencia
Descripción
Enumera las tablas de referencia disponibles en QRadar.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Campos que se devolverán | String | N/A | No | Especifica los campos que debe devolver la acción. Si no se proporciona nada, la acción devolverá todos los campos disponibles de forma predeterminada. El parámetro acepta varios valores separados por comas. |
| Condición del filtro | String | N/A | No | Especifica una condición de filtro para devolver solo elementos específicos, por ejemplo: element_type = ALN |
| Cantidad de elementos que se devolverán | Número entero | 25 | Sí | Especifica la cantidad máxima de elementos que devolverá la acción. |
Ejemplo de casos de uso
Enumera los elementos disponibles para la referencia.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[
{
"name": "TestTable2",
"element_type": "ALN"
},
{
"name": "TestTable3",
"element_type": "ALN"
}
]
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* |
Esta acción no debería fallar ni detener la ejecución de la guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
Agregar nota de incumplimiento
Descripción
Agrega una nota a un delito de QRadar.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de la infracción | Número entero | N/A | Sí | Es el ID del delito al que se agregará una nota. |
| Texto de la nota | String | N/A | Sí | Es el texto de la nota que se agregará al incumplimiento. |
Ejemplo de casos de uso de la guía
Agrega una nota sobre el delito de QRadar desde Google SecOps.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* |
Esta acción no debería fallar ni detener la ejecución de la guía:
La acción debería fallar y detener la ejecución de la guía:
|
General |
Actualizar infracción
Descripción
Actualiza el delito de QRadar.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| ID de la infracción | Número entero | N/A | Sí | Es el ID del delito que se actualizará. |
| Asignado a | String | N/A | No | Es el acceso del usuario al que se le asignará el incumplimiento. |
| Estado | DDL | " " | No | Es el nuevo estado del incumplimiento. |
| Motivo del cierre | String | N/A | No | Si el estado de la infracción se establece como cerrado, debes proporcionar un motivo de cierre de QRadar. |
| Seguimiento | Casilla de verificación | Casilla de verificación desmarcada | No | Especifica si el incumplimiento se debe marcar como seguimiento. |
| Protegido | Casilla de verificación | Casilla de verificación desmarcada | No | Especifica si el delito debe marcarse como protegido. |
Ejemplo de casos de uso de la guía
Actualiza el delito de QRadar desde Google SecOps para mantener el estado del delito de QRadar sincronizado con Google SecOps.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"last_persisted_time": 1611143659000,
"username_count": 0,
"description": "Web\n",
"rules": [
{
"id": 100555,
"type": "CRE_RULE"
}
],
"event_count": 0,
"flow_count": 4,
"assigned_to": "admin",
"security_category_count": 1,
"follow_up": true,
"source_address_ids": [
50
],
"source_count": 1,
"inactive": true,
"protected": true,
"closing_user": null,
"destination_networks": [
"other"
],
"source_network": "other",
"category_count": 1,
"close_time": null,
"remote_destination_count": 1,
"start_time": 1610451749000,
"magnitude": 0,
"last_updated_time": 1610451887000,
"credibility": 0,
"id": 93,
"categories": [
"Web"
],
"severity": 0,
"policy_category_count": 0,
"log_sources": [],
"closing_reason_id": null,
"device_count": 0,
"first_persisted_time": 1610451722000,
"offense_type": 1,
"relevance": 0,
"domain_id": 0,
"offense_source": "37.28.155.22",
"local_destination_address_ids": [],
"local_destination_count": 0,
"status": "OPEN"
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* |
Esta acción no debería fallar ni detener la ejecución de la guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
Obtén la cobertura de MITRE de la regla
Descripción
Obtén detalles de MITRE sobre las reglas en QRadar con la aplicación Use Case Manager.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombres de las reglas | CSV | Sí | Especifica una lista separada por comas de los nombres de las reglas para las que la acción debe devolver detalles de MITRE. | |
| Crear estadística | Booleano | Verdadero | No | Si está habilitada, la acción crea una estadística que contiene información sobre la cobertura de MITRE de las reglas. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"rulename": "Excessive Database Connections"
"id": "SYSTEM-1431",
"has_ibm_default": true,
"last_updated": 1591634177302,
"mapping": {
"Discovery": {
"confidence": "medium",
"user_override": false,
"enabled": true,
"ibm_default": true,
"id": "TA0007",
"techniques": {}
},
"Initial Access": {
"confidence": "low",
"user_override": false,
"enabled": true,
"ibm_default": true,
"id": "TA0001",
"techniques": {}
}
},
"min-mitre-version": 7
}
}]
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* |
Esta acción no debería fallar ni detener la ejecución de una guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
| Tabla del muro de casos | Nombre de la tabla: Cobertura de MITRE Columnas de la tabla:
|
Búsqueda simple en AQL de QRadar
Descripción
Ejecuta una consulta de AQL basada en parámetros en QRadar.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre de la tabla | DDL |
Flows Valores posibles:
|
Sí | Especifica la tabla que se debe consultar. |
| Campos que se devolverán | CSV | * | No | Especifica los campos que se devolverán. Si no se proporciona nada, la acción devuelve todos los campos. También se admite el comodín. |
| Cláusula WHERE del filtro | String | No | Especifica el filtro WHERE para la consulta que se debe ejecutar.
No es necesario que proporciones filtros de tiempo, límites ni ordenamientos. Además, no es necesario que proporciones la cadena WHERE en la carga útil. |
|
| Período | DDL |
Última hora Valores posibles:
|
No | Especifica el período de los resultados. Si seleccionas "Personalizado", también debes proporcionar la "Hora de inicio". |
| Hora de inicio | String | No | Especifica la hora de inicio de los resultados. Este parámetro es obligatorio si se selecciona "Personalizado" para el parámetro "Período". Formato: ISO 8601. Ejemplo: 2021-04-23T12:38Z | |
| Hora de finalización | String | No | Especifica la hora de finalización de los resultados. Formato: ISO 8601. Si no se proporciona nada y se selecciona "Personalizado" para el parámetro "Período", este parámetro usa la hora actual. | |
| Campo de orden | String | No | Especifica el parámetro que se debe usar para la ordenación. | |
| Orden de clasificación | DDL |
ASC Valores posibles:
|
No | Especifica el orden de clasificación. Requiere que se proporcione el parámetro "Campo de ordenamiento". |
| Cantidad máxima de resultados para devolver | Número entero | 50 | No | Especifica la cantidad de resultados que se devolverán. |
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| resultados | N/A | N/A |
Resultado de JSON
{
"events": [
{
"username": "None",
"category": 4003,
"starttime": 1548682790158,
"destinationip": "1.1.1.1",
"eventcount": 13,
"qid": 20257872,
"magnitude": 3,
"destinationport": 53,
"protocolid": 17,
"sourceport": 50597,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}, {
"username": "None",
"category": 8053,
"starttime": 1548682800217,
"destinationip": "1.1.1.1",
"eventcount": 1,
"qid": 20280296,
"magnitude": 3,
"destinationport": 443,
"protocolid": 6,
"sourceport": 49230,
"identityip": "1.1.1.1",
"sourceip": "1.1.1.1",
"logsourceid": 71
}
]
}
Muro de casos
| Tipo de resultado | Descripción | Tipo |
|---|---|---|
| Mensaje de salida* |
Esta acción no debería fallar ni detener la ejecución de una guía:
Esta acción debería fallar y detener la ejecución de la guía:
|
General |
| Tabla del muro de casos | Nombre de la tabla: Resultados |
Conectores
Configura conectores de QRadar en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Conector de eventos de correlación de QRadar V2
Descripción
Es el conector recomendado. Recupera los delitos de QRadar y genera alertas de Google SecOps para cada regla de QRadar agregada a la lista dinámica en Google SecOps. El conector solo recupera los incumplimientos de las reglas que se agregan a la lista dinámica de Google SecOps. El conector requiere la versión 10.1 de la API de QRadar como mínimo. El conector crea alertas de Google SecOps basadas en el nombre de la regla del delito de QRadar, no en el nombre del delito.
Requisitos previos del conector
Índices de QRadar para los campos obligatorios. El conector QRadar New Correlation Events Connector V2 usa campos adicionales para los eventos asociados con los siguientes delitos: logsource_id, creEventList y Custom Rule Partially Matched. Esos campos deberían estar indexados de forma predeterminada en QRadar, pero es necesario asegurarse de que estos índices estén habilitados actualmente. Para verificar si están habilitados, en la IU web de QRadar, ve a Admin > Index Management. En la ventana que se abre, encontrarás los siguientes índices. Asegúrate de que estén habilitados:
- Norma personalizada
- Fuente del archivo de registro
- Se encontró una coincidencia parcial con la regla personalizada
Para obtener más información, consulta Administración de índices.
Max Days Backwards Recommendations: El valor del parámetro del conector Max Days Backwards debe usarse con precaución. Los delitos de QRadar pueden tener muchos eventos, y tratar de recuperarlos con el conector puede causar una carga excesiva en el servidor de QRadar o tiempos de espera de solicitudes. Por este motivo, se recomienda establecer el parámetro Max Days Backwards en valores lo suficientemente pequeños para asegurarse de que el conector pueda consultar QRadar en busca de eventos para el período configurado.
Notas de uso del conector
Ten en cuenta lo siguiente cuando uses el conector:
El conector de eventos de correlación de QRadar v2 realiza un seguimiento de cada evento que se incorpora por delito. Para ello, calcula una suma de hash de los eventos con todos los datos de eventos (cada campo del evento que devuelve la API de QRadar) y la usa como identificador único del evento para el delito. Como resultado, no se registran los eventos que tienen todos los campos idénticos para el incumplimiento. El primer evento se ingiere y se agrega al delito relacionado. Sin embargo, los siguientes se descartan como duplicados. Esto se debe a la arquitectura de QRadar, ya que los eventos en QRadar no tienen identificadores únicos.
El conector de eventos de correlación de QRadar v2 crea alertas basadas en las reglas de listas dinámicas que están presentes para el delito, no para los delitos en sí. Como resultado, si un evento del delito se marca con varias reglas de listas dinámicas, este evento se agrega a varias alertas de Google SecOps para las reglas de listas dinámicas relacionadas.
IBM QRadar usa reglas para supervisar los eventos y los flujos de tu red y detectar amenazas a la seguridad. Cuando los eventos y los flujos cumplen con los criterios de prueba, que se definen en las reglas, se crea un delito para demostrar que se sospecha de un ataque de seguridad o un incumplimiento de política.
El nuevo conector solo transfiere los incumplimientos a Google SecOps en función de las reglas que coinciden. Estas reglas las define el usuario y deben agregarse a la lista dinámica para garantizar que Google SecOps solo ingiera los incumplimientos que sean relevantes para el usuario. Por lo tanto, una vez que se crea un nuevo delito, el conector verifica las reglas que lo activaron (el filtrado de reglas se introdujo en la versión 9 y posteriores de la API de QRadar). Si las reglas forman parte de la lista dinámica, el conector prepara el delito para su incorporación.
Caso de uso del conector
Investiga un delito
IBM QRadar usa reglas para supervisar los eventos y los flujos de tu red y detectar amenazas a la seguridad. Cuando los eventos y los flujos cumplen con los criterios de prueba definidos en las reglas, se crea un delito para demostrar que se sospecha de un ataque de seguridad o un incumplimiento de política. Sin embargo, saber que se produjo un delito es solo el primer paso. Identificar cómo, dónde y quién lo hizo requiere una investigación.
La ventana Resumen de la infracción te ayuda a comenzar la investigación de la infracción, ya que proporciona contexto para comprender lo que sucedió y determinar cómo aislar y resolver el problema.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción | |
|---|---|---|---|---|
| Nombre del campo del producto | String | N/A | Describe el nombre del campo en el que se almacena el nombre del producto. | |
| Nombre del campo del evento | String | N/A | Describe el nombre del campo en el que se almacena el nombre del evento. | |
| Nombre del campo del entorno | String | domain_name | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, el entorno es "". | |
| Patrón de expresión regular del entorno | String | .* | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". | |
| Raíz de la API | String | https://IP_ADDRESS:port |
La dirección del servidor de QRadar. | |
| Token de API | String | N/A | Es el token de autenticación de la API. | |
| Versión de API | String | 10.1 | Es la versión de la API de QRadar que se usará. El conector admite la versión de la API a partir de la 10.1. | |
| Filtro de dominio | Cadena (CSV) | N/A | Especifica los dominios de QRadar desde los que se deben transferir los delitos. Si no se proporcionan valores, el conector transferirá las infracciones de todos los dominios. El parámetro acepta varios valores como una cadena separada por comas. | |
| Límite de eventos por alerta de Siemplify | Número entero | 25 | Es la cantidad máxima de eventos que se recuperarán por alerta de Google SecOps por ciclo. Se puede aumentar para que el conector se ejecute más rápido si, durante el período de padding de infracción especificado, se devuelven constantemente grandes cantidades de eventos. | |
| Tamaño de página de la página de eventos del conector | Número entero | 100 | Es el tamaño de la página que usará el conector para procesar eventos en lotes. | |
| Cantidad máxima de incumplimientos por ciclo | Número entero | 10 | Cantidad máxima de incumplimientos que se pueden procesar por ejecución del conector.
Para garantizar un rendimiento óptimo, evita establecer un valor inferior a 10. |
|
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 300 | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. | |
| Máx. de días hacia atrás | Número entero | 5 | Es la cantidad máxima de días para recuperar datos de incumplimientos hacia atrás. | |
| Período de relleno de incumplimientos | Número entero | 60 | Período en minutos para recuperar los incumplimientos. | |
| Período de relleno de eventos | Número entero | 1 | Es el período en días para recuperar los datos de eventos. | |
| Campos personalizados | String | N/A | Campos personalizados que el usuario configura en QRadar. Los valores están separados por comas. Ejemplo: Campo A, Campo B | |
| ¿Qué valor se debe usar para el campo Nombre de la alerta de Siemplify? | String | custom_rule | Especifica el formato que se debe seguir para generar nombres para las alertas creadas por el conector.
Los valores posibles son custom_rule o offense_description. |
|
| ¿Qué valor se debe usar para el campo Rule Generator de la alerta de Siemplify? | String | custom_rule | Especifica el formato que se debe seguir para completar el campo rule_generator de las alertas creadas por el conector.
Los valores posibles son custom_rule o offense_description. |
|
| ¿Se crean casos de "No se pueden recuperar eventos del delito"? | Casilla de verificación | Marcado | Si se marca esta opción, el conector creará casos de advertencia "No se pueden recuperar eventos para el incumplimiento" si no puede recuperar eventos para los incumplimientos actualizados durante el período de relleno de incumplimientos. | |
| Direcciones del servidor proxy | String | N/A | Dirección del servidor proxy. | |
| Nombre de usuario del proxy | String | N/A | Nombre de usuario del proxy. | |
| Contraseña de proxy | Contraseña | N/A | Contraseña de proxy. | |
| Límite de eventos por regla de delito de QRadar | Número entero | 100 | Especifica un límite para la cantidad de eventos que se deben transferir por regla única en el delito de QRadar. Una vez que se alcanza este límite, no se incorporan eventos nuevos a la infracción para la regla de QRadar relacionada. Ejemplo: 100 | |
| Límite de eventos para el conector que se consultará en una ejecución del conector | Número entero | N/A | Especifica un límite para la cantidad de eventos que un solo conector de infracciones debe consultar desde QRadar en una ejecución del conector. Ejemplo: 100.
Ten en cuenta que el valor especificado en el parámetro no puede ser inferior al valor especificado en el parámetro Límite de eventos por regla de delito de QRadar. Además, debido a la forma en que el conector recupera los eventos, los eventos más antiguos y que están fuera del límite no se recuperan en Google SecOps. El conector recupera los eventos más recientes hasta que se alcanza el límite especificado en el parámetro Límite de eventos por regla de delito de QRadar. |
|
| Usa la lista de entidades permitidas como lista de entidades bloqueadas | Casilla de verificación | Desmarcado | Si se habilita, la lista dinámica se usa como lista de bloqueo. | |
| Inhabilita el desbordamiento | Casilla de verificación | Desmarcado | Si está habilitado, no se verifica el mecanismo de desbordamiento del conector para las alertas creadas, no se crean las alertas de "desbordamiento" y el conector intenta recuperar todos los incumplimientos que devuelve QRadar. | |
| Temporizador de resincronización de reglas de QRadar Offense | Número entero | 10 | No | Especifica en minutos la frecuencia con la que el conector debe volver a sincronizar la lista de reglas de infracción de QRadar. Si el parámetro no está configurado o se establece en 0, el conector se vuelve a sincronizar en cada ejecución. |
Reglas del conector
Lista de bloqueo y lista dinámica
El conector está transfiriendo los incumplimientos a Google SecOps según las reglas coincidentes. Estas reglas las define el usuario y se agregan a una lista dinámica para garantizar que Google SecOps solo ingiera los incumplimientos que sean de interés o importantes para el usuario.
| RuleType (lista dinámica o lista de bloqueo) | RuleName (cadena) |
|---|---|
| Lista dinámica | Local: Se detectó SSH o Telnet en un puerto no estándar |
| Lista dinámica | Varios errores de acceso desde la misma fuente |
Compatibilidad con proxy
El conector admite proxy.
Comunicaciones encriptadas
El conector admite comunicaciones encriptadas (SSL/TLS).
Compatibilidad con Unicode
El conector admite la codificación Unicode para las alertas procesadas.
Conector de QRadar Offenses
Descripción
El conector de delitos de QRadar se usa para recuperar delitos y crear alertas de Google SecOps basadas en los delitos de QRadar, a diferencia de cómo lo hacen los conectores de otras integraciones basados en los nombres de las reglas de QRadar. El conector tiene un límite de la cantidad total de eventos que recuperará por cada delito de QRadar. Después de alcanzar ese límite, no se ingerirán eventos nuevos. El conector usa la lista dinámica de SecOps de Google, pero, de forma predeterminada, si no se configuran reglas de lista dinámica, recuperará todos los incumplimientos que devuelva la API de QRadar. El conector requiere la versión 10.1 o una posterior de la API de QRadar.
El conector se puede considerar como una versión más fácil de configurar y usar que se puede utilizar si no es necesario hacer un seguimiento de todos los eventos de delito de QRadar ni incorporarlos a Google SecOps (como lo hacen los conectores de correlación de integración).
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | N/A | Sí | Describe el nombre del campo en el que se almacena el nombre del producto. |
| Nombre del campo del evento | String | N/A | Sí | Describe el nombre del campo en el que se almacena el nombre del evento. |
| Nombre del campo del entorno | String | domain_name | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, el entorno es "". |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". |
| Raíz de la API | String | https://IP_ADDRESS:port |
Sí | Es la dirección del servidor de la API. |
| Token de API | String | N/A | Sí | Es el token de autenticación de la API. |
| Versión de API | String | 10.1 | Sí | Es la versión de la API de QRadar que se usará. El conector admite la versión de la API a partir de la 10.1. |
| Límite total de eventos por incumplimiento | Número entero | 100 | Sí | Especifica cuántos eventos por delito de QRadar debe incorporar el conector en total. Después de alcanzar ese límite, no se incorporarán eventos nuevos para el delito. |
| Límite de eventos por regla de delito de QRadar | Número entero | N/A | No | Especifica un límite opcional para la cantidad de eventos que se deben transferir por regla única en el delito de QRadar. No se transferirán eventos nuevos al delito para la regla de QRadar relacionada una vez que se alcance este límite. El límite no puede ser mayor que el "Límite total de eventos por infracción". |
| Tamaño de página de la página de eventos del conector | Número entero | 100 | Sí | Es el tamaño de la página que usará el conector para procesar eventos en lotes. |
| Cantidad máxima de incumplimientos por ciclo | Número entero | 10 | Sí | Cantidad máxima de incumplimientos que se pueden procesar por ejecución del conector.
Para garantizar un rendimiento óptimo, evita establecer un valor inferior a 10. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 300 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Máx. de días hacia atrás | Número entero | 5 | No | Cantidad máxima de días para recuperar datos de incumplimientos hacia atrás |
| Período de relleno de incumplimientos | Número entero | 60 | Sí | Período en minutos para recuperar los incumplimientos. |
| Período de relleno de eventos | Número entero | 1 | Sí | Es el período en días para recuperar los datos de eventos. |
| Campos personalizados | String | N/A | No | Campos personalizados que el usuario configura en QRadar, separados por comas, p. ej., Campo A, Campo B. |
| Filtro de dominio | String | N/A | No | Especifica los dominios de QRadar desde los que se deben transferir los delitos. Si no se proporcionan valores, el conector transferirá las infracciones de todos los dominios. El parámetro acepta varios valores como una cadena separada por comas. |
| Filtro de magnitud | Número entero | N/A | No | Especifica una magnitud de incumplimiento para la transferencia. Los incumplimientos con una magnitud igual o mayor que la proporcionada se transferirán a Google SecOps. |
| ¿Qué valor se debe usar para el campo Nombre de la alerta de Siemplify? | String | custom_alert_name | No | Especifica el formato que se debe seguir para generar nombres para las alertas creadas por el conector.
Los valores posibles son custom_alert_name o offense_description. |
| Usa la lista de entidades permitidas como lista de entidades bloqueadas | Casilla de verificación | Desmarcado | No | Si se habilita, la lista dinámica se usará como lista de bloqueo. Si la casilla de verificación no está habilitada y no se establecen reglas de listas dinámicas, el conector recuperará todos los incumplimientos que muestre la API de QRadar. |
| Inhabilita el desbordamiento | Casilla de verificación | Desmarcado | No | Si está habilitado, no se verificará el mecanismo de desbordamiento del conector para las alertas creadas. No se crearán alertas de "desbordamiento", y el conector intentará recuperar todos los incumplimientos que devolvió QRadar. |
| Direcciones del servidor proxy | String | No | Dirección del servidor proxy. | |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña de proxy. |
| Temporizador de resincronización de reglas de QRadar Offense | Número entero | 10 | No | Especifica en minutos con qué frecuencia el conector debe volver a sincronizar la lista de reglas de infracción de QRadar. Si el parámetro no está configurado o se establece en 0, el conector se vuelve a sincronizar en cada ejecución. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
Conector de QRadar Baseline Offenses
El conector recupera los incumplimientos y crea alertas de Google SecOps basadas en los nombres de los incumplimientos de QRadar.
El conector crea una sola alerta de Google SecOps por cada delito de QRadar y no crea alertas adicionales de Google SecOps cuando aparecen eventos nuevos de QRadar.
El conector usa la lista dinámica de Google SecOps. De forma predeterminada, si no se configura ninguna regla de lista dinámica, el conector recupera todos los incumplimientos que devuelve la API de QRadar.
Parámetros del conector
| Parámetros | |
|---|---|
| Nombre del campo del producto | Obligatorio
Es el nombre del campo en el que se almacena el nombre del producto. |
| Nombre del campo del evento | Obligatorio
Es el nombre del campo en el que se almacena el nombre del evento. |
| Nombre del campo del entorno | Optional
Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se establece en |
| Patrón de expresión regular del entorno | Optional
Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo El valor predeterminado es |
| Raíz de la API | Obligatorio
Es la dirección del servidor de la API. |
| Token de API | Obligatorio
Es el token de autenticación de la API. |
| Versión de API | Obligatorio
Es la versión de la API de QRadar. El conector admite las versiones de API 10.1 y posteriores. |
| Límite total de eventos por incumplimiento | Obligatorio
Especifica cuántos eventos por delito de QRadar debe incorporar el conector en total. Después de alcanzar el límite establecido, no se registrarán eventos nuevos para el delito. El valor predeterminado es 100. |
| Límite de eventos por regla de delito de QRadar | Optional
Especifica un límite opcional para la cantidad de eventos que se deben transferir por regla única a un delito de QRadar. Una vez que se alcanza el límite establecido por este parámetro, no se incorporan eventos nuevos a la infracción para la regla de QRadar relacionada. |
| Tamaño de página de la página de eventos del conector | Obligatorio
Es el tamaño de la página que usa el conector para procesar eventos en lotes. El valor predeterminado es 100. |
| Cantidad máxima de incumplimientos por ciclo | Obligatorio Cantidad máxima de incumplimientos que se pueden procesar por ejecución del conector. Para garantizar un rendimiento óptimo, evita establecer un valor inferior a 10. El valor predeterminado es 10. |
| Tiempo de espera de la secuencia de comandos (segundos) | Obligatorio
Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es 300 segundos. |
| Máx. de días hacia atrás | Optional
Es la cantidad máxima de días a partir de la cual se recuperarán los datos de los incumplimientos. El valor predeterminado es 5 días. |
| Período de relleno de incumplimientos | Obligatorio
Es el período en minutos para recuperar los incumplimientos. El valor predeterminado es de 60 minutos. |
| Período de relleno de eventos | Obligatorio
Es el período en días para recuperar los datos de eventos. El valor predeterminado es un día. |
| Campos personalizados | Optional
Campos personalizados separados por comas que el usuario configura en QRadar, como |
| Filtro de dominio | Optional
Especifica los dominios de QRadar desde los que se deben transferir las ofensas. Si no se proporcionan valores, el conector ingiere los incumplimientos de todos los dominios. El parámetro acepta varios valores como una cadena separada por comas. |
| Filtro de magnitud | Optional
Especifica la magnitud de un incumplimiento que se debe transferir. Los incumplimientos con una magnitud igual o superior a la proporcionada se transferirán a las SecOps de Google. |
| ¿Qué valor se debe usar para el campo Nombre de la alerta de Siemplify? | Optional
Especifica el formato que se debe seguir para generar nombres para las alertas creadas por el conector. El valor predeterminado es Valores posibles:
|
| Usar la lista dinámica como lista de bloqueo | Optional
Si se marca esta opción, la lista dinámica se usará como lista de bloqueo. Si la casilla de verificación no está marcada y no se establecen reglas de lista dinámica, el conector recupera todos los incumplimientos que devuelve la API de QRadar. No está marcada de forma predeterminada. |
| Inhabilita el desbordamiento | Optional
Si se habilita, no se verificará el mecanismo de desbordamiento del conector para las alertas creadas, por lo que no se crearán las alertas de "desbordamiento" y el conector recuperará todos los incumplimientos que devolvió QRadar. No está marcada de forma predeterminada. |
| Direcciones del servidor proxy | Optional
Dirección del servidor proxy. |
| Nombre de usuario del proxy | Optional
Nombre de usuario del proxy. |
| Contraseña de proxy | Optional
Contraseña del proxy. |
| Temporizador de resincronización de reglas de QRadar Offense | Optional
Especifica el intervalo en minutos para que el conector vuelva a sincronizar la lista de reglas de infracción de QRadar. Si el parámetro no está configurado o se establece en 0, el conector se vuelve a sincronizar en cada ejecución. El valor predeterminado es de 10 minutos. |
| Crea alertas de SOAR para los delitos con 0 eventos | Optional
Si se marca esta opción, para los delitos recuperados sin eventos, el conector crea una alerta de Google SecOps con los datos del delito de QRadar tanto para la alerta como para el evento. No está marcada de forma predeterminada. |
| Temporizador de creación de infracciones (minutos) | Optional
Especifica cuánto tiempo espera el conector antes de recuperar los datos de eventos para un delito de QRadar recién creado. |
Reglas del conector
El conector admite proxy.
Eventos del conector
El ejemplo de un evento es el siguiente:
{
"events": [
{
"CREName": null,
"CREDescription": null,
"EventName": "WinCollect Info",
"EventDescription": "WinCollect Info",
"rulename_creEventList": [
"Destination Asset Weight is Low",
"Source Asset Weight is Low",
"Events from Windows Host - Second Rule",
"Context is Local to Local"
],
"partialmatchlist": [],
"qid": 63500003,
"category": 8052,
"sourceHostname": null,
"destinationHostname": null,
"creEventList": [
100205,
100211,
100409,
100199
],
"credibility": 5,
"destinationMAC": "01:23:45:ab:cd:ef",
"destinationIP": "192.0.2.1",
"destinationPort": 0,
"destinationv6": "2001:db8:1:1:1:1:1:1",
"deviceTime": 1583158321000,
"deviceProduct": "WinCollect",
"domainID": 0,
"duration": 10000,
"endTime": 1583165521106,
"eventCount": 1,
"eventDirection": "L2L",
"processorId": 8,
"hasIdentity": false,
"hasOffense": true,
"highLevelCategory": 8000,
"isCREEvent": false,
"magnitude": 6,
"utf8_payload": "<13>Mar 02 16:12:01 DESKTOP IBM|WinCollect|src=DESKTOP\tos=Windows 10 (Build 18363 64-bit)\tdst=\tsev=3\tlog=Code.SSLConfigServerConnection\tmsg=ApplicationHeartbeat",
"postNatDestinationIP": "198.51.100.255",
"postNatDestinationPort": 0,
"postNatSourceIP": "198.51.100.1",
"postNatSourcePort": 0,
"preNatDestinationIP": "198.0.2.255",
"preNatDestinationPort": 0,
"preNatSourceIP": "192.0.2.255",
"preNatSourcePort": 0,
"protocolName": "Reserved",
"protocolID": 255,
"relevance": 9,
"severity": 3,
"sourceIP": "192.0.2.1",
"sourceMAC": "ab:cd:ef:01:23:45",
"sourcePort": 0,
"sourcev6": "2001:db8:2:2:2:2:2:2",
"startTime": 1583165521106,
"isunparsed": false,
"userName": null
}
]
}
Trabajos
SyncCloseOffenses
Descripción
Cierra los delitos relacionados de QRadar para las alertas cerradas de Google SecOps.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://IP_ADDRESS |
Sí | Es la ruta de URL que apunta al servidor de QRadar. |
| Token de API | Contraseña | N/A | Sí | Es el token de seguridad de la API para la autenticación. |
| Versión de API | String | N/A | No | Es la versión de la API que se usó. |
| Días hacia atrás | Número entero | N/A | No | Cantidad de días hacia atrás para obtener los incumplimientos. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.