Sumo Logic Cloud SIEM
Version de l'intégration : 8.0
Configurer l'intégration de Sumo Logic Cloud SIEM dans Google Security Operations
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Racine de l'API | Chaîne | https://{instance} | Oui | Racine de l'API de l'instance Sumo Logic Cloud SIEM. |
| Clé API | Chaîne | N/A | Non | Clé API du compte Sumo Logic Cloud SIEM. Remarque : La clé API est prioritaire par rapport aux autres méthodes d'authentification. |
| ID d'accès | Chaîne | N/A | Non | ID d'accès du compte Sumo Logic Cloud SIEM. Remarque : L'ID d'accès et la clé d'accès sont tous deux requis pour ce type d'authentification. |
| Clé d'accès | Chaîne | N/A | Non | Clé d'accès du compte Sumo Logic Cloud SIEM. Remarque : L'ID d'accès et la clé d'accès sont tous deux requis pour ce type d'authentification. |
| Vérifier le protocole SSL | Case à cocher | Décochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Sumo Logic Cloud SIEM est valide. |
Cas d'utilisation
Alertes d'ingestion.
Actions
Ping
Description
Testez la connectivité à Sumo Logic Cloud SIEM avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Paramètres
N/A
Exécuter sur
Cette action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "Connexion au serveur Sumo Logic Cloud SIEM établie avec les paramètres de connexion fournis !" L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur Sumo Logic Cloud SIEM. Error is {0}".format(exception.stacktrace) |
Général |
Signaux d'entité de recherche
Description
Recherchez des signaux liés à des entités dans Sumo Logic Cloud SIEM. Entités acceptées : adresse IP, nom d'hôte, nom d'utilisateur.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Niveau de gravité le plus faible à renvoyer | Integer | 5 | Non | Spécifiez le numéro de gravité le plus bas utilisé pour renvoyer les signaux. Maximum : 10 |
| Période | LDD | La dernière heure Valeurs possibles :
|
Non | Spécifiez une période pour les résultats. Si vous sélectionnez "Personnalisé", vous devez également indiquer une heure de début. Si l'option "Heure de début de l'alerte jusqu'à maintenant" est sélectionnée, l'action utilise l'heure de début de l'alerte comme heure de début de la recherche et l'heure actuelle comme heure de fin. Si l'option "30 minutes autour de l'heure de l'alerte" est sélectionnée, l'action recherche les alertes 30 minutes avant et 30 minutes après l'heure de l'alerte. La même idée s'applique à "1 heure avant et après l'heure de l'alerte" et "5 minutes avant et après l'heure de l'alerte". |
| Heure de début | Chaîne | N/A | Non | Spécifiez l'heure de début des résultats. Ce paramètre est obligatoire si l'option "Personnalisé" est sélectionnée pour le paramètre "Période". Format : ISO 8601 |
| Heure de fin | Chaîne | N/A | Non | Spécifiez l'heure de fin des résultats. Si aucune valeur n'est fournie et que "Personnalisée" est sélectionné pour le paramètre "Période", ce paramètre utilise l'heure actuelle. Format : ISO 8601 |
| Nombre maximal de signaux à renvoyer | Integer | 50 | Non | Spécifiez le nombre de signaux à renvoyer par entité. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Adresse IP
- Nom d'hôte
- Nom d'utilisateur
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
[
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "bL0ofHLH",
"event_message": "Failed password for invalid user",
"src_port": "39788"
},
"friendlyName": "record",
"hour": 10,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646994593976,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646994592,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646994592000,
"uid": "7a89ebd4-3346-59fe-839a-9fc9bf99f51a",
"user_username": "bL0ofHLH",
"user_username_raw": "bL0ofHLH",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "a9288779-354c-5a61-b492-f617d302c5ed",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"suppressed": true,
"tags": [
"_mitreAttackTactic:TA0001",
"_mitreAttackTactic:TA0006",
"_mitreAttackTechnique:T1110",
"_mitreAttackTechnique:T1078",
"_mitreAttackTechnique:T1078.001",
"_mitreAttackTechnique:T1078.002",
"_mitreAttackTechnique:T1078.003",
"_mitreAttackTechnique:T1078.004",
"_mitreAttackTechnique:T1586",
"_mitreAttackTechnique:T1586.001",
"_mitreAttackTechnique:T1586.002",
"_mitreAttackTactic:TA0008",
"_mitreAttackTechnique:T1110.003",
"_mitreAttackTechnique:T1110.002",
"_mitreAttackTechnique:T1110.001"
],
"timestamp": "2022-03-11T10:29:52"
}
]
Enrichissement d'entités
N/A
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si au moins un signal est trouvé (is_success=true) : "Les signaux ont été renvoyés pour les entités suivantes dans Sumo Logic Cloud SIEM : {entities}." Si aucune entité n'a été trouvée (is_success=true) : "Aucun signal n'a été trouvé pour les entités suivantes dans Sumo Logic Cloud SIEM : {entities}." Si aucun résultat n'est trouvé pour toutes les entités (is_success=true) : "Aucun signal n'a été trouvé pour les entités fournies dans Sumo Logic Cloud SIEM." Si le code d'état 500 est signalé pour une entité (is_success=true) : "L'action n'a pas pu récupérer les signaux pour les entités suivantes dans Sumo Logic Cloud SIEM : {entities}." Si le code d'état 500 est signalé pour toutes les entités (is_success=false) : "L'action n'a pas pu récupérer les signaux pour les entités fournies dans Sumo Logic Cloud SIEM." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Search Entity Signals". Raison : {0}''.format(error.Stacktrace) |
Général |
Mettre à jour un insight
Description
Mettre à jour l'état des insights dans Sumo Logic Cloud SIEM.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'insight | Chaîne | N/A | Oui | Spécifiez l'ID de l'insight à modifier. |
| État | LDD | Sélectionnez une réponse Valeurs possibles :
|
Oui | Spécifiez l'état à définir pour l'insight. |
| Type de personne responsable | LDD | Utilisateur Valeurs possibles :
|
Oui | Spécifiez le type d'attributaire pour le paramètre "Attributaire". |
| Personne responsable | Chaîne | N/A | Non | Spécifiez l'identifiant de l'attributaire. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
{
"data": {
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
},
"errors": []
}
Enrichissement d'entités
N/A
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est signalé (is_success=true) : "Insight mis à jour avec succès avec l'ID "{id}" dans Sumo Logic Cloud SIEM." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Mettre à jour l'insight". Raison : {0}''.format(error.Stacktrace) Si des erreurs sont signalées : "Erreur lors de l'exécution de l'action "Mettre à jour l'insight". Motif : {message}." Si l'option "Sélectionner" est sélectionnée pour le paramètre "État" et qu'aucun responsable n'est indiqué : "Erreur lors de l'exécution de l'action "Mettre à jour l'insight". Motif : vous devez indiquer l'état ou l'attributé." |
Général |
Ajouter un commentaire à un insight
Description
Ajoutez un commentaire à un insight dans Sumo Logic Cloud SIEM.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'insight | Chaîne | N/A | Oui | Spécifiez l'ID de l'insight auquel l'action doit ajouter un commentaire. |
| Commentaire | Chaîne | N/A | Oui | Indiquez le commentaire à ajouter à l'insight. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
Enrichissement d'entités
N/A
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est signalé (is_success=true) : "Commentaire ajouté à un insight avec l'ID "{id}" dans Sumo Logic Cloud SIEM." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Ajouter un commentaire à l'insight". Raison : {0}''.format(error.Stacktrace) Si des erreurs sont signalées : "Erreur lors de l'exécution de l'action "Ajouter un commentaire à l'insight". Motif : {message}. |
Général |
Ajouter des tags à un insight
Description
Ajoutez des tags à un insight dans Sumo Logic Cloud SIEM.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| ID de l'insight | Chaîne | N/A | Oui | Spécifiez l'ID de l'insight auquel l'action doit ajouter des tags. |
| Tags | CSV | N/A | Oui | Spécifiez une liste de tags séparés par une virgule à ajouter à l'insight. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
Enrichissement d'entités
N/A
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si le code d'état 200 est signalé (is_success=true) : "Des tags ont été ajoutés à un insight avec l'ID "{id}" dans Sumo Logic Cloud SIEM." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Ajouter des tags à l'insight". Raison : {0}''.format(error.Stacktrace) Si des erreurs sont signalées : "Erreur lors de l'exécution de l'action "Ajouter des tags à l'insight". Motif : {message}. |
Général |
Enrichir les entités
Description
Enrichissez les entités à l'aide des informations de Sumo Logic Cloud SIEM. Entités acceptées : nom d'hôte, utilisateur, adresse IP.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Créer un insight | Case à cocher | Cochée | Non | Si cette option est activée, l'action crée un insight contenant toutes les informations récupérées sur l'entité. |
Exécuter sur
Cette action s'applique aux entités suivantes :
- Nom d'hôte
- Utilisateur
- Adresse IP
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
{
"activityScore": 8,
"criticality": null,
"entityType": "_ip",
"firstSeen": null,
"hostname": null,
"id": "_ip-172.30.202.30",
"inventory": [],
"isSuppressed": false,
"isWhitelisted": false,
"lastSeen": "2022-03-11T09:44:53",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": null,
"tags": [],
"value": "172.30.202.30"
}
Enrichissement d'entités : préfixe SumoLogicCloudSIEM_
| Nom du champ d'enrichissement | Source (clé JSON) | Logique : quand les utiliser ? |
|---|---|---|
| isSuppressed | isSuppressed | Lorsqu'il est disponible au format JSON |
| isWhitelisted | isWhitelisted | Lorsqu'il est disponible au format JSON |
| tags | Fichier CSV des tags | Lorsqu'il est disponible au format JSON |
| firstSeen | firstSeen | Lorsqu'il est disponible au format JSON |
| lastSeen | lastSeen | Lorsqu'il est disponible au format JSON |
| criticité | criticité | Lorsqu'il est disponible au format JSON |
| activityScore | activityScore | Lorsqu'il est disponible au format JSON |
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données sont disponibles pour une entité (is_success=true) : "Les entités suivantes ont été enrichies avec succès à l'aide des informations de Harmony Mobile : {entity.identifier}". Si les données ne sont pas disponibles pour une entité (is_success=true) : "L'action n'a pas pu enrichir les entités suivantes à l'aide des informations de Sumo Logic Cloud SIEM : {entity.identifier}" Si les données ne sont pas disponibles pour toutes les entités (is_success=false) : "Aucune des entités fournies n'a été enrichie." L'action doit échouer et arrêter l'exécution d'un playbook : Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Enrichir les entités". Raison : {0}''.format(error.Stacktrace) |
Général |
| Tableau du mur des cas | Titre du tableau : {entity.identifier} Colonnes du tableau :
|
Entité |
Connecteurs
Sumo Logic Cloud SIEM - Insights Connector
Description
Extrayez des informations sur les insights de Sumo Logic Cloud SIEM.
Configurer le connecteur Sumo Logic Cloud SIEM - Insights dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | N/A | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | generalized_data_name | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final. |
| Délai avant expiration du script (en secondes) | Integer | 180 | Oui | Délai avant expiration du processus Python exécutant le script actuel. |
| Racine de l'API | Chaîne | https://{instance} | Oui | Racine de l'API de l'instance Sumo Logic Cloud SIEM. |
| Clé API | Chaîne | N/A | Non | Clé API du compte Sumo Logic Cloud SIEM. Remarque : La clé API est prioritaire par rapport aux autres méthodes d'authentification. |
| ID d'accès | Chaîne | N/A | Non | ID d'accès du compte Sumo Logic Cloud SIEM. Remarque : L'ID d'accès et la clé d'accès sont tous deux requis pour ce type d'authentification. |
| Clé d'accès | Secret | N/A | Non | Clé d'accès du compte Sumo Logic Cloud SIEM. Remarque : L'ID d'accès et la clé d'accès sont tous deux requis pour ce type d'authentification. |
| Gravité la plus faible à récupérer | Chaîne | N/A | Non | Priorité la plus basse à utiliser pour récupérer les demandes. Valeurs possibles : "Faible", "Moyenne", "Élevée", "Critique". Si rien n'est spécifié, le connecteur ingère les insights de tous les niveaux de gravité. |
| Nombre maximal d'heures en arrière | Integer | 1 | Non | Nombre d'heures à partir desquelles récupérer les insights. |
| Nombre maximal d'insights à extraire | Integer | 20 | Non | Nombre d'insights à traiter par itération de connecteur. |
| Utiliser une liste dynamique comme liste noire | Case à cocher | Décochée | Oui | Si cette option est activée, la liste dynamique est utilisée comme liste noire. |
| Vérifier le protocole SSL | Case à cocher | Décochée | Oui | Si cette option est activée, vérifiez que le certificat SSL pour la connexion au serveur Sumo Logic Cloud SIEM est valide. |
| Adresse du serveur proxy | Chaîne | N/A | Non | Adresse du serveur proxy à utiliser. |
| Nom d'utilisateur du proxy | Chaîne | N/A | Non | Nom d'utilisateur du proxy pour l'authentification. |
| Mot de passe du proxy | Mot de passe | N/A | Non | Mot de passe du proxy pour l'authentification. |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.