SIEM en la nube de Sumo Logic
Versión de la integración: 8.0
Configurar la integración de Sumo Logic Cloud SIEM en Google Security Operations
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | Cadena | https://{instance} | Sí | Raíz de la API de la instancia de Sumo Logic Cloud SIEM. |
| Clave de API | Cadena | N/A | No | Clave de API de la cuenta de Sumo Logic Cloud SIEM. Nota: La clave de API tiene prioridad sobre otros métodos de autenticación. |
| ID de acceso | Cadena | N/A | No | ID de acceso de la cuenta de SIEM en la nube de Sumo Logic. Nota: Se necesitan tanto el ID de acceso como la clave de acceso para este tipo de autenticación. |
| Clave de acceso | Cadena | N/A | No | Clave de acceso de la cuenta de Sumo Logic Cloud SIEM. Nota: Se necesitan tanto el ID de acceso como la clave de acceso para este tipo de autenticación. |
| Verificar SSL | Casilla | Desmarcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor de Sumo Logic Cloud SIEM es válido. |
Casos prácticos
Alertas de ingestión.
Acciones
Ping
Descripción
Prueba la conectividad con Sumo Logic Cloud SIEM con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Fecha de ejecución
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se realiza correctamente: "Successfully connected to the Sumo Logic Cloud SIEM server with the provided connection parameters!" ("Se ha conectado correctamente al servidor Sumo Logic Cloud SIEM con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si no funciona: "No se ha podido conectar con el servidor SIEM en la nube de Sumo Logic. Error: {0}".format(exception.stacktrace) |
General |
Señales de entidad de búsqueda
Descripción
Señales de búsqueda relacionadas con entidades de Sumo Logic Cloud SIEM. Entidades admitidas: dirección IP, nombre de host y nombre de usuario.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Gravedad mínima que se va a devolver | Entero | 5 | No | Especifica el número de gravedad más bajo que se usa para devolver señales. Máximo: 10 |
| Periodo | DDL | Última hora Valores posibles:
|
No | Especifica un periodo para los resultados. Si se selecciona "Personalizado", también debe indicar la "Hora de inicio". Si se selecciona "Tiempo de alerta hasta ahora", la acción usa la hora de inicio de la alerta como hora de inicio de la búsqueda y la hora actual como hora de finalización. Si se selecciona "30 minutos antes y después de la hora de la alerta", la acción buscará las alertas 30 minutos antes y 30 minutos después de que se haya producido la alerta. La misma idea se aplica a "1 hora antes y después de la hora de la alerta" y "5 minutos antes y después de la hora de la alerta". |
| Hora de inicio | Cadena | N/A | No | Especifica la hora de inicio de los resultados. Este parámetro es obligatorio si se selecciona "Personalizado" en el parámetro "Periodo". Formato: ISO 8601 |
| Hora de finalización | Cadena | N/A | No | Especifica la hora de finalización de los resultados. Si no se proporciona ningún valor y se selecciona "Personalizado" en el parámetro "Periodo", este parámetro usará la hora actual. Formato: ISO 8601 |
| Número máximo de señales que se devolverán | Entero | 50 | No | Especifica el número de señales que se deben devolver por entidad. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
- Nombre de usuario
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
[
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "bL0ofHLH",
"event_message": "Failed password for invalid user",
"src_port": "39788"
},
"friendlyName": "record",
"hour": 10,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646994593976,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646994592,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646994592000,
"uid": "7a89ebd4-3346-59fe-839a-9fc9bf99f51a",
"user_username": "bL0ofHLH",
"user_username_raw": "bL0ofHLH",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "a9288779-354c-5a61-b492-f617d302c5ed",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"suppressed": true,
"tags": [
"_mitreAttackTactic:TA0001",
"_mitreAttackTactic:TA0006",
"_mitreAttackTechnique:T1110",
"_mitreAttackTechnique:T1078",
"_mitreAttackTechnique:T1078.001",
"_mitreAttackTechnique:T1078.002",
"_mitreAttackTechnique:T1078.003",
"_mitreAttackTechnique:T1078.004",
"_mitreAttackTechnique:T1586",
"_mitreAttackTechnique:T1586.001",
"_mitreAttackTechnique:T1586.002",
"_mitreAttackTactic:TA0008",
"_mitreAttackTechnique:T1110.003",
"_mitreAttackTechnique:T1110.002",
"_mitreAttackTechnique:T1110.001"
],
"timestamp": "2022-03-11T10:29:52"
}
]
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ha encontrado al menos una señal (is_success=true): "Señales devueltas correctamente para las siguientes entidades en Sumo Logic Cloud SIEM: {entities}." Si no se ha encontrado nada para una entidad (is_success=true): "No se han encontrado señales para las siguientes entidades en Sumo Logic Cloud SIEM: {entities}." Si no se encuentra nada para todas las entidades (is_success=true): "No se han encontrado señales para las entidades proporcionadas en Sumo Logic Cloud SIEM". Si se informa del código de estado 500 de una entidad (is_success=true): "Action wasn't able to retrieve signals for the following entities in Sumo Logic Cloud SIEM: {entities}." ("No se ha podido recuperar la información de las siguientes entidades en Sumo Logic Cloud SIEM: {entities}"). Si se devuelve el código de estado 500 para todas las entidades (is_success=false): "Action wasn't able to retrieve signals for the provided entities in Sumo Logic Cloud SIEM." ("No se ha podido recuperar las señales de las entidades proporcionadas en Sumo Logic Cloud SIEM"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Buscar señales de entidad". Motivo: {0}''.format(error.Stacktrace) |
General |
Update Insight
Descripción
Actualiza el estado de las estadísticas en Sumo Logic Cloud SIEM.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de la estadística | Cadena | N/A | Sí | Especifica el ID de la estadística que quieres actualizar. |
| Estado | DDL | Selecciona una opción. Valores posibles:
|
Sí | Especifica el estado que se debe asignar a la estadística. |
| Tipo de usuario asignado | DDL | Usuario Valores posibles:
|
Sí | Especifica el tipo de asignatario del parámetro "Asignatario". |
| Usuario asignado | Cadena | N/A | No | Especifica el identificador del asignatario. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"data": {
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
},
"errors": []
}
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelve el código de estado 200 (is_success=true): "Se ha actualizado correctamente la estadística con el ID "{id}" en Sumo Logic Cloud SIEM." La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Update Insight". Motivo: {0}''.format(error.Stacktrace) Si se informa de errores: "Error al ejecutar la acción "Actualizar estadísticas". Motivo: {message}." Si se selecciona "Seleccionar uno" en el parámetro "Estado" y no se proporciona ningún asignatario: "Error al ejecutar la acción "Actualizar estadística". Motivo: se debe proporcionar el estado o el asignado." |
General |
Add Comment To Insight
Descripción
Añade un comentario a una estadística en Sumo Logic Cloud SIEM.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de la estadística | Cadena | N/A | Sí | Especifica el ID de la estadística a la que se debe añadir un comentario. |
| Comentario | Cadena | N/A | Sí | Especifica el comentario que se debe añadir a la estadística. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelve el código de estado 200 (is_success=true): "Se ha añadido correctamente un comentario a una estadística con el ID "{id}" en Sumo Logic Cloud SIEM." La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Añadir comentario a la estadística". Motivo: {0}''.format(error.Stacktrace) Si se informa de errores: "Error al ejecutar la acción "Añadir comentario a la estadística". Motivo: {message}. |
General |
Añadir etiquetas a las estadísticas
Descripción
Añade etiquetas a una estadística en Sumo Logic Cloud SIEM.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de la estadística | Cadena | N/A | Sí | Especifica el ID de la estadística a la que se deben añadir etiquetas. |
| Etiquetas | CSV | N/A | Sí | Especifica una lista de etiquetas separadas por comas que se deben añadir a la estadística. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelve el código de estado 200 (is_success=true): "Se han añadido correctamente etiquetas a una estadística con el ID "{id}" en Sumo Logic Cloud SIEM." La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Añadir etiquetas a la estadística". Motivo: {0}''.format(error.Stacktrace) Si se informa de errores: "Error al ejecutar la acción "Añadir etiquetas a la estadística". Motivo: {message}. |
General |
Enriquecer entidades
Descripción
Enriquece entidades con información de Sumo Logic Cloud SIEM. Entidades admitidas: nombre de host, usuario y dirección IP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Crear estadística | Casilla | Marcada | No | Si se habilita, la acción crea una estadística que contiene toda la información recuperada sobre la entidad. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Usuario
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"activityScore": 8,
"criticality": null,
"entityType": "_ip",
"firstSeen": null,
"hostname": null,
"id": "_ip-172.30.202.30",
"inventory": [],
"isSuppressed": false,
"isWhitelisted": false,
"lastSeen": "2022-03-11T09:44:53",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": null,
"tags": [],
"value": "172.30.202.30"
}
Enriquecimiento de entidades: prefijo SumoLogicCloudSIEM_
| Nombre del campo de enriquecimiento | Fuente (clave JSON) | Lógica: cuándo aplicar |
|---|---|---|
| isSuppressed | isSuppressed | Cuando esté disponible en JSON |
| isWhitelisted | isWhitelisted | Cuando esté disponible en JSON |
| etiquetas | CSV de etiquetas | Cuando esté disponible en JSON |
| firstSeen | firstSeen | Cuando esté disponible en JSON |
| lastSeen | lastSeen | Cuando esté disponible en JSON |
| criticidad | criticidad | Cuando esté disponible en JSON |
| activityScore | activityScore | Cuando esté disponible en JSON |
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si hay datos disponibles para una entidad (is_success=true): "Se han enriquecido correctamente las siguientes entidades con información de Harmony Mobile: {entity.identifier}". Si no hay datos disponibles para una entidad (is_success=true): "Action wasn't able to enrich the following entities using information from Sumo Logic Cloud SIEM: {entity.identifier}" ("No se ha podido enriquecer la siguiente entidad con información de Sumo Logic Cloud SIEM: {entity.identifier}") Si los datos no están disponibles para todas las entidades (is_success=false): "None of the provided entities were enriched." ("Ninguna de las entidades proporcionadas se ha enriquecido"). La acción debería fallar y detener la ejecución de la guía: Si se informa de un error grave, como credenciales incorrectas, falta de conexión con el servidor u otro: "Error al ejecutar la acción "Enrich Entities". Motivo: {0}''.format(error.Stacktrace) |
General |
| Tabla del panel de casos | Título de la tabla: {entity.identifier} Columnas de tabla:
|
Entidad |
Conectores
Sumo Logic Cloud SIEM - Insights Connector
Descripción
Extrae información sobre las estadísticas de Sumo Logic Cloud SIEM.
Configurar el conector de estadísticas de Sumo Logic Cloud SIEM en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | N/A | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | generalized_data_name | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | https://{instance} | Sí | Raíz de la API de la instancia de Sumo Logic Cloud SIEM. |
| Clave de API | Cadena | N/A | No | Clave de API de la cuenta de Sumo Logic Cloud SIEM. Nota: La clave de API tiene prioridad sobre otros métodos de autenticación. |
| ID de acceso | Cadena | N/A | No | ID de acceso de la cuenta de SIEM en la nube de Sumo Logic. Nota: Se necesitan tanto el ID de acceso como la clave de acceso para este tipo de autenticación. |
| Clave de acceso | Secret | N/A | No | Clave de acceso de la cuenta de Sumo Logic Cloud SIEM. Nota: Se necesitan tanto el ID de acceso como la clave de acceso para este tipo de autenticación. |
| Gravedad mínima que se va a obtener | Cadena | N/A | No | La prioridad más baja que se debe usar para obtener casos. Valores posibles: Bajo, Medio, Alto y Crítico. Si no se especifica nada, el conector ingerirá estadísticas con todos los niveles de gravedad. |
| Número máximo de horas hacia atrás | Entero | 1 | No | Número de horas a partir del cual se obtendrán las estadísticas. |
| Número máximo de estadísticas que se van a obtener | Entero | 20 | No | Número de estadísticas que se deben procesar por iteración de conector. |
| Usar una lista dinámica como lista negra | Casilla | Desmarcada | Sí | Si se habilita, la lista dinámica se usa como lista negra. |
| Verificar SSL | Casilla | Desmarcada | Sí | Si está habilitada, compruebe que el certificado SSL de la conexión al servidor de Sumo Logic Cloud SIEM es válido. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
Compatibilidad con proxies
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.