Sumo Logic Cloud SIEM
Integrationsversion: 8.0
Sumo Logic Cloud SIEM-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| API-Stamm | String | https://{instance} | Ja | API-Stammverzeichnis der Sumo Logic Cloud SIEM-Instanz. |
| API-Schlüssel | String | – | Nein | API-Schlüssel des Sumo Logic Cloud SIEM-Kontos. Hinweis:API-Schlüssel haben Vorrang vor anderen Authentifizierungsmethoden. |
| Zugriffs-ID | String | – | Nein | Zugriffs-ID des Sumo Logic Cloud SIEM-Kontos. Hinweis:Für diese Art der Authentifizierung sind sowohl die Zugriffs-ID als auch der Zugriffsschlüssel erforderlich. |
| Zugriffsschlüssel | String | – | Nein | Zugriffsschlüssel des Sumo Logic Cloud SIEM-Kontos. Hinweis:Für diese Art der Authentifizierung sind sowohl die Zugriffs-ID als auch der Zugriffsschlüssel erforderlich. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn die Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Sumo Logic Cloud SIEM-Server gültig ist. |
Anwendungsbereiche
Aufnahmebenachrichtigungen.
Aktionen
Ping
Beschreibung
Testen Sie die Verbindung zu Sumo Logic Cloud SIEM mit Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.
Parameter
–
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt und hat keine obligatorischen Eingabeparameter.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
N/A
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Bei Erfolg: „Successfully connected to the Sumo Logic Cloud SIEM server with the provided connection parameters!“ (Die Verbindung zum Sumo Logic Cloud SIEM-Server wurde mit den angegebenen Verbindungsparametern hergestellt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn das nicht funktioniert: „Verbindung zum Sumo Logic Cloud SIEM-Server konnte nicht hergestellt werden. Fehler: {0}".format(exception.stacktrace) |
Allgemein |
Signale für die Suche nach Entitäten
Beschreibung
Nach Signalen suchen, die mit Entitäten in Sumo Logic Cloud SIEM zusammenhängen Unterstützte Einheiten: IP-Adresse, Hostname, Nutzername.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Niedrigster zurückzugebender Schweregrad | Ganzzahl | 5 | Nein | Geben Sie die niedrigste Schweregradnummer an, die zum Zurückgeben von Signalen verwendet wird. Maximum: 10 |
| Zeitraum | DDL | Letzte Stunde Mögliche Werte:
|
Nein | Geben Sie einen Zeitraum für die Ergebnisse an. Wenn „Benutzerdefiniert“ ausgewählt ist, müssen Sie auch „Beginn“ angeben. Wenn „Alert Time Till Now“ (Benachrichtigungszeit bis jetzt) ausgewählt ist, wird die Startzeit der Benachrichtigung als Startzeit für die Suche verwendet und die Endzeit ist die aktuelle Uhrzeit. Wenn „30 Minuten vor und nach der Benachrichtigungszeit“ ausgewählt ist, werden die Benachrichtigungen 30 Minuten vor und nach der Benachrichtigungszeit durchsucht. Dasselbe gilt für „1 Stunde vor und nach der Benachrichtigungszeit“ und „5 Minuten vor und nach der Benachrichtigungszeit“. |
| Beginn | String | – | Nein | Geben Sie die Startzeit für die Ergebnisse an. Dieser Parameter ist erforderlich, wenn für den Parameter „Zeitrahmen“ die Option „Benutzerdefiniert“ ausgewählt ist. Format: ISO 8601 |
| Ende | String | – | Nein | Geben Sie die Endzeit für die Ergebnisse an. Wenn nichts angegeben ist und für den Parameter „Zeitrahmen“ die Option „Benutzerdefiniert“ ausgewählt ist, wird für diesen Parameter die aktuelle Zeit verwendet. Format: ISO 8601 |
| Maximale Anzahl der zurückzugebenden Signale | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der Signale an, die pro Einheit zurückgegeben werden sollen. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- Hostname
- Nutzername
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
[
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "bL0ofHLH",
"event_message": "Failed password for invalid user",
"src_port": "39788"
},
"friendlyName": "record",
"hour": 10,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646994593976,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646994592,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646994592000,
"uid": "7a89ebd4-3346-59fe-839a-9fc9bf99f51a",
"user_username": "bL0ofHLH",
"user_username_raw": "bL0ofHLH",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "a9288779-354c-5a61-b492-f617d302c5ed",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"suppressed": true,
"tags": [
"_mitreAttackTactic:TA0001",
"_mitreAttackTactic:TA0006",
"_mitreAttackTechnique:T1110",
"_mitreAttackTechnique:T1078",
"_mitreAttackTechnique:T1078.001",
"_mitreAttackTechnique:T1078.002",
"_mitreAttackTechnique:T1078.003",
"_mitreAttackTechnique:T1078.004",
"_mitreAttackTechnique:T1586",
"_mitreAttackTechnique:T1586.001",
"_mitreAttackTechnique:T1586.002",
"_mitreAttackTactic:TA0008",
"_mitreAttackTechnique:T1110.003",
"_mitreAttackTechnique:T1110.002",
"_mitreAttackTechnique:T1110.001"
],
"timestamp": "2022-03-11T10:29:52"
}
]
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn mindestens ein Signal gefunden wurde (is_success=true): „Successfully returned signals for the following entities in Sumo Logic Cloud SIEM: {entities}.“ (Signale für die folgenden Entitäten in Sumo Logic Cloud SIEM wurden erfolgreich zurückgegeben: {entities}.) Wenn für eine Entität nichts gefunden wurde (is_success=true): „No signals were found for the following entities in Sumo Logic Cloud SIEM: {entities}.“ (Für die folgenden Entitäten wurden in Sumo Logic Cloud SIEM keine Signale gefunden: {entities}.) Wenn für alle Entitäten nichts gefunden wird (is_success=true): „No signals were found for the provided entities in Sumo Logic Cloud SIEM.“ (Für die angegebenen Entitäten wurden in Sumo Logic Cloud SIEM keine Signale gefunden.) Wenn der Statuscode 500 für eine Entität gemeldet wird (is_success=true): „Die Aktion konnte keine Signale für die folgenden Entitäten in Sumo Logic Cloud SIEM abrufen: {entities}.“ Wenn der Statuscode 500 für alle Einheiten gemeldet wird (is_success=false): „Action wasn't able to retrieve signals for the provided entities in Sumo Logic Cloud SIEM.“ (Die Aktion konnte keine Signale für die angegebenen Einheiten in Sumo Logic Cloud SIEM abrufen.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Such-Entity-Signale‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Insight aktualisieren
Beschreibung
Aktualisieren Sie den Statistikstatus in Sumo Logic Cloud SIEM.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Insight-ID | String | – | Ja | Geben Sie die ID der zu aktualisierenden Statistik an. |
| Status | DDL | Wählen Sie eine Option aus. Mögliche Werte:
|
Ja | Geben Sie den Status an, der für die Erkenntnis festgelegt werden soll. |
| Zuweisungstyp | DDL | Nutzer Mögliche Werte:
|
Ja | Geben Sie den Zuweisungstyp für den Parameter „Zuweisungsempfänger“ an. |
| Zuständige Person | String | – | Nein | Geben Sie die Kennung des zugewiesenen Nutzers an. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"data": {
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
},
"errors": []
}
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 200 gemeldet wird (is_success=true): „Successfully updated insight with ID "{id}" in Sumo Logic Cloud SIEM.“ (Der Insight mit der ID „{id}“ wurde in Sumo Logic Cloud SIEM aktualisiert.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Update Insight‘. Grund: {0}''.format(error.Stacktrace) Wenn Fehler gemeldet werden: „Fehler beim Ausführen der Aktion ‚Update Insight‘. Grund: {message}.' Wenn für den Parameter „Status“ die Option „Select One“ (Eins auswählen) ausgewählt ist und kein Empfänger angegeben wird: „Error executing action 'Update Insight'“ (Fehler beim Ausführen der Aktion „Update Insight“). Grund: Es muss entweder der Status oder der zugewiesene Mitarbeiter angegeben werden.“ |
Allgemein |
Kommentar zu Insight hinzufügen
Beschreibung
Fügen Sie einem Insight in Sumo Logic Cloud SIEM einen Kommentar hinzu.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Insight-ID | String | – | Ja | Geben Sie die ID des Statistikelements an, dem durch die Aktion ein Kommentar hinzugefügt werden soll. |
| Kommentar | String | – | Ja | Geben Sie den Kommentar an, der dem Insight hinzugefügt werden soll. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 200 gemeldet wird (is_success=true): „Successfully added a comment to an insight with ID "{id}" in Sumo Logic Cloud SIEM.“ (Dem Insight mit der ID „{id}“ in Sumo Logic Cloud SIEM wurde erfolgreich ein Kommentar hinzugefügt.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Kommentar zu Insight hinzufügen‘. Grund: {0}''.format(error.Stacktrace) Wenn Fehler gemeldet werden: „Fehler beim Ausführen der Aktion ‚Kommentar zu Insight hinzufügen‘. Grund: {message}. |
Allgemein |
Tags zu Statistiken hinzufügen
Beschreibung
Fügen Sie einem Insight in Sumo Logic Cloud SIEM Tags hinzu.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Insight-ID | String | – | Ja | Geben Sie die ID des Insights an, dem durch die Aktion Tags hinzugefügt werden sollen. |
| Tags | CSV | – | Ja | Geben Sie eine durch Kommas getrennte Liste von Tags an, die dem Insight hinzugefügt werden müssen. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
Entitätsanreicherung
–
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn der Statuscode 200 gemeldet wird (is_success=true): „Tags wurden dem Insight mit der ID {id} in Sumo Logic Cloud SIEM erfolgreich hinzugefügt.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Tags zu Insight hinzufügen‘. Grund: {0}''.format(error.Stacktrace) Wenn Fehler gemeldet werden: „Fehler beim Ausführen der Aktion ‚Tags zu Insight hinzufügen‘. Grund: {message}. |
Allgemein |
Entitäten anreichern
Beschreibung
Entitäten mit Informationen aus Sumo Logic Cloud SIEM anreichern Unterstützte Einheiten: Hostname, Nutzer, IP-Adresse.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Insight erstellen | Kästchen | Aktiviert | Nein | Wenn diese Option aktiviert ist, wird durch die Aktion ein Insight mit allen abgerufenen Informationen zur Entität erstellt. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Hostname
- Nutzer
- IP-Adresse
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success=False |
JSON-Ergebnis
{
"activityScore": 8,
"criticality": null,
"entityType": "_ip",
"firstSeen": null,
"hostname": null,
"id": "_ip-172.30.202.30",
"inventory": [],
"isSuppressed": false,
"isWhitelisted": false,
"lastSeen": "2022-03-11T09:44:53",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": null,
"tags": [],
"value": "172.30.202.30"
}
Entitätsanreicherung – Präfix „SumoLogicCloudSIEM_“
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Logik – Wann anwenden? |
|---|---|---|
| isSuppressed | isSuppressed | Wenn in JSON verfügbar |
| isWhitelisted | isWhitelisted | Wenn in JSON verfügbar |
| Tags | CSV-Datei mit Tags | Wenn in JSON verfügbar |
| firstSeen | firstSeen | Wenn in JSON verfügbar |
| lastSeen | lastSeen | Wenn in JSON verfügbar |
| Kritikalität | Kritikalität | Wenn in JSON verfügbar |
| activityScore | activityScore | Wenn in JSON verfügbar |
Statistiken
–
Fall-Repository
| Ergebnistyp | Wert/Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen. Wenn Daten für eine Entität verfügbar sind (is_success=true): „Successfully enriched the following entities using information from Harmony Mobile: {entity.identifier}“ (Die folgenden Entitäten wurden mit Informationen aus Harmony Mobile angereichert: {entity.identifier}). Wenn für eine Einheit keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden Einheiten nicht mit Informationen aus Sumo Logic Cloud SIEM anreichern: {entity.identifier}“ Wenn für nicht alle Entitäten Daten verfügbar sind (is_success=false): „None of the provided entities were enriched.“ (Keine der angegebenen Entitäten wurde angereichert.) Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder „Sonstiges“: „Fehler beim Ausführen der Aktion ‚Enrich Entities‘. Grund: {0}''.format(error.Stacktrace) |
Allgemein |
| Tabelle „Fall-Repository“ | Tabellentitel: {entity.identifier} Tabellenspalten:
|
Entität |
Connectors
Sumo Logic Cloud SIEM – Insights Connector
Beschreibung
Informationen zu Statistiken aus Sumo Logic Cloud SIEM abrufen
Sumo Logic Cloud SIEM – Insights Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | – | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Produktfelds abzurufen. |
| Name des Ereignisfelds | String | generalized_data_name | Ja | Geben Sie den Namen des Quellfelds ein, um den Namen des Ereignisfelds abzurufen. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung die Standardumgebung. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein regulärer Ausdruck, der auf den Wert im Feld „Name des Umgebungsfelds“ angewendet wird. Der Standardwert ist „.*“, um alle Werte zu erfassen und unverändert zurückzugeben. Damit kann der Nutzer das Feld „environment“ über Regex-Logik bearbeiten. Wenn das reguläre Ausdrucksmuster null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
| Zeitlimit für Script (Sekunden) | Ganzzahl | 180 | Ja | Zeitlimit für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | https://{instance} | Ja | API-Stammverzeichnis der Sumo Logic Cloud SIEM-Instanz. |
| API-Schlüssel | String | – | Nein | API-Schlüssel des Sumo Logic Cloud SIEM-Kontos. Hinweis:API-Schlüssel haben Vorrang vor anderen Authentifizierungsmethoden. |
| Zugriffs-ID | String | – | Nein | Zugriffs-ID des Sumo Logic Cloud SIEM-Kontos. Hinweis:Für diese Art der Authentifizierung sind sowohl die Zugriffs-ID als auch der Zugriffsschlüssel erforderlich. |
| Zugriffsschlüssel | Secret | – | Nein | Zugriffsschlüssel des Sumo Logic Cloud SIEM-Kontos. Hinweis:Für diese Art der Authentifizierung sind sowohl die Zugriffs-ID als auch der Zugriffsschlüssel erforderlich. |
| Niedrigster abzurufender Schweregrad | String | – | Nein | Die niedrigste Priorität, die zum Abrufen von Fällen verwendet werden muss. Mögliche Werte: Niedrig, Mittel, Hoch, Kritisch. Wenn nichts angegeben ist, werden Statistiken mit allen Schweregraden aufgenommen. |
| Maximale Stunden zurück | Ganzzahl | 1 | Nein | Anzahl der Stunden, ab denen Statistiken abgerufen werden sollen. |
| Max. Anzahl abzurufender Statistiken | Ganzzahl | 20 | Nein | Anzahl der zu verarbeitenden Statistiken pro Connector-Iteration. |
| Dynamische Liste als Sperrliste verwenden | Kästchen | Deaktiviert | Ja | Wenn diese Option aktiviert ist, wird die dynamische Liste als Sperrliste verwendet. |
| SSL überprüfen | Kästchen | Deaktiviert | Ja | Wenn die Option aktiviert ist, prüfen Sie, ob das SSL-Zertifikat für die Verbindung zum Sumo Logic Cloud SIEM-Server gültig ist. |
| Proxyserveradresse | String | – | Nein | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | – | Nein | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | – | Nein | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung.
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten