SIEM Cloud Sumo Logic
Versi integrasi: 8.0
Mengonfigurasi integrasi Sumo Logic Cloud SIEM di Google Security Operations
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Root API | String | https://{instance} | Ya | Root API instance Sumo Logic Cloud SIEM. |
| Kunci API | String | T/A | Tidak | Kunci API akun Sumo Logic Cloud SIEM. Catatan: Kunci API memiliki prioritas lebih tinggi daripada metode autentikasi lainnya. |
| ID Akses | String | T/A | Tidak | ID Akses akun Sumo Logic Cloud SIEM. Catatan: ID Akses dan Kunci Akses diperlukan untuk jenis autentikasi ini. |
| Kunci Akses | String | T/A | Tidak | Kunci Akses akun Sumo Logic Cloud SIEM. Catatan: ID Akses dan Kunci Akses diperlukan untuk jenis autentikasi ini. |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server Sumo Logic Cloud SIEM valid. |
Kasus Penggunaan
Peringatan penyerapan.
Tindakan
Ping
Deskripsi
Uji konektivitas ke Sumo Logic Cloud SIEM dengan parameter yang diberikan di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace.
Parameter
T/A
Run On
Tindakan ini tidak berjalan pada entity, dan tidak memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully connected to the Sumo Logic Cloud SIEM server with the provided connection parameters!" (Berhasil terhubung ke server Sumo Logic Cloud SIEM dengan parameter koneksi yang diberikan.) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil: "Gagal terhubung ke server Sumo Logic Cloud SIEM. Error adalah {0}".format(exception.stacktrace) |
Umum |
Sinyal Entitas Penelusuran
Deskripsi
Sinyal penelusuran yang terkait dengan entitas di Sumo Logic Cloud SIEM. Entitas yang didukung: Alamat IP, Nama Host, Nama Pengguna.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Tingkat Keparahan Terendah yang Akan Ditampilkan | Bilangan bulat | 5 | Tidak | Tentukan jumlah tingkat keparahan terendah yang digunakan untuk menampilkan sinyal. Maksimum: 10 |
| Jangka Waktu | DDL | Sejam Terakhir Nilai yang Mungkin:
|
Tidak | Tentukan jangka waktu untuk hasil. Jika "Kustom" dipilih, Anda juga perlu memberikan "Waktu Mulai". Jika "Alert Time Till Now" dipilih, tindakan akan menggunakan waktu mulai pemberitahuan sebagai waktu mulai penelusuran dan waktu akhir adalah waktu saat ini. Jika "30 Menit di Sekitar Waktu Pemberitahuan" dipilih, tindakan akan menelusuri pemberitahuan 30 menit sebelum pemberitahuan terjadi hingga 30 menit setelah pemberitahuan terjadi. Ide yang sama berlaku untuk "1 Jam Sekitar Waktu Pemberitahuan" dan "5 Menit Sekitar Waktu Pemberitahuan" |
| Waktu Mulai | String | T/A | Tidak | Tentukan waktu mulai untuk hasil. Parameter ini wajib diisi, jika "Kustom" dipilih untuk parameter "Rentang Waktu". Format: ISO 8601 |
| Waktu Berakhir | String | T/A | Tidak | Tentukan waktu berakhir untuk hasil. Jika tidak ada yang diberikan dan "Khusus" dipilih untuk parameter "Rentang Waktu", parameter ini akan menggunakan waktu saat ini. Format: ISO 8601 |
| Jumlah Sinyal Maksimum yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah sinyal yang akan ditampilkan per entitas. |
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
- Nama pengguna
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
[
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "bL0ofHLH",
"event_message": "Failed password for invalid user",
"src_port": "39788"
},
"friendlyName": "record",
"hour": 10,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646994593976,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646994592,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646994592000,
"uid": "7a89ebd4-3346-59fe-839a-9fc9bf99f51a",
"user_username": "bL0ofHLH",
"user_username_raw": "bL0ofHLH",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "a9288779-354c-5a61-b492-f617d302c5ed",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"suppressed": true,
"tags": [
"_mitreAttackTactic:TA0001",
"_mitreAttackTactic:TA0006",
"_mitreAttackTechnique:T1110",
"_mitreAttackTechnique:T1078",
"_mitreAttackTechnique:T1078.001",
"_mitreAttackTechnique:T1078.002",
"_mitreAttackTechnique:T1078.003",
"_mitreAttackTechnique:T1078.004",
"_mitreAttackTechnique:T1586",
"_mitreAttackTechnique:T1586.001",
"_mitreAttackTechnique:T1586.002",
"_mitreAttackTactic:TA0008",
"_mitreAttackTechnique:T1110.003",
"_mitreAttackTechnique:T1110.002",
"_mitreAttackTechnique:T1110.001"
],
"timestamp": "2022-03-11T10:29:52"
}
]
Pengayaan Entity
T/A
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika setidaknya satu sinyal ditemukan (is_success=true): "Berhasil menampilkan sinyal untuk entitas berikut di Sumo Logic Cloud SIEM: {entities}." Jika tidak ada yang ditemukan untuk satu entitas (is_success=true): "Tidak ada sinyal yang ditemukan untuk entitas berikut di Sumo Logic Cloud SIEM: {entities}." Jika tidak ada yang ditemukan untuk semua entitas (is_success=true): "No signals were found for the provided entities in Sumo Logic Cloud SIEM." (Tidak ada sinyal yang ditemukan untuk entitas yang diberikan di Sumo Logic Cloud SIEM.) Jika kode status 500 dilaporkan untuk satu entitas (is_success=true): "Tindakan tidak dapat mengambil sinyal untuk entitas berikut di Sumo Logic Cloud SIEM: {entities}." Jika kode status 500 dilaporkan untuk semua entitas (is_success=false): "Tindakan tidak dapat mengambil sinyal untuk entitas yang diberikan di Sumo Logic Cloud SIEM." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Search Entity Signals". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Memperbarui Insight
Deskripsi
Perbarui status insight di Sumo Logic Cloud SIEM.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Insight | String | T/A | Ya | Tentukan ID insight yang perlu diperbarui. |
| Status | DDL | Pilih Satu Nilai yang Mungkin:
|
Ya | Tentukan status yang akan ditetapkan untuk insight. |
| Jenis Penerima Tugas | DDL | Pengguna Nilai yang Mungkin:
|
Ya | Tentukan jenis penerima tugas untuk parameter "Penerima tugas". |
| Penerima tugas | String | T/A | Tidak | Tentukan ID penerima tugas. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
{
"data": {
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
},
"errors": []
}
Pengayaan Entity
T/A
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 200 dilaporkan (is_success=true): "Successfully updated insight with ID "{id}" in Sumo Logic Cloud SIEM." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perbarui Insight". Alasan: {0}''.format(error.Stacktrace) Jika error dilaporkan: "Error saat menjalankan tindakan "Perbarui Insight". Alasan: {message}.' Jika "Pilih Satu" dipilih untuk parameter "Status" dan tidak ada penerima tugas yang diberikan: "Error executing action "Update Insight". Alasan: status atau penerima tugas harus diberikan." |
Umum |
Menambahkan Komentar ke Insight
Deskripsi
Menambahkan komentar ke insight di Sumo Logic Cloud SIEM.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Insight | String | T/A | Ya | Tentukan ID insight yang tindakannya perlu menambahkan komentar. |
| Komentar | String | T/A | Ya | Tentukan komentar yang perlu ditambahkan ke insight. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
Pengayaan Entity
T/A
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 200 dilaporkan (is_success=true): "Berhasil menambahkan komentar ke insight dengan ID "{id}" di Sumo Logic Cloud SIEM." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Tambahkan Komentar ke Insight". Alasan: {0}''.format(error.Stacktrace) Jika error dilaporkan: "Error saat menjalankan tindakan "Tambahkan Komentar ke Insight". Alasan: {message}. |
Umum |
Menambahkan Tag ke Insight
Deskripsi
Menambahkan tag ke insight di Sumo Logic Cloud SIEM.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Insight | String | T/A | Ya | Tentukan ID insight yang perlu ditambahkan tag-nya. |
| Tag | CSV | T/A | Ya | Tentukan daftar tag yang dipisahkan koma yang perlu ditambahkan ke insight. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
Pengayaan Entity
T/A
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika kode status 200 dilaporkan (is_success=true): "Berhasil menambahkan tag ke insight dengan ID "{id}" di Sumo Logic Cloud SIEM." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Tambahkan Tag ke Insight". Alasan: {0}''.format(error.Stacktrace) Jika error dilaporkan: "Error saat menjalankan tindakan "Tambahkan Tag ke Insight". Alasan: {message}. |
Umum |
Memperkaya Entitas
Deskripsi
Memperkaya entitas menggunakan informasi dari Sumo Logic Cloud SIEM. Entitas yang didukung: Nama Host, Pengguna, Alamat IP.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Buat Insight | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan ini akan membuat insight yang berisi semua informasi yang diambil tentang entity. |
Run On
Tindakan ini berjalan di entity berikut:
- Hostname
- Pengguna
- Alamat IP
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
{
"activityScore": 8,
"criticality": null,
"entityType": "_ip",
"firstSeen": null,
"hostname": null,
"id": "_ip-172.30.202.30",
"inventory": [],
"isSuppressed": false,
"isWhitelisted": false,
"lastSeen": "2022-03-11T09:44:53",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": null,
"tags": [],
"value": "172.30.202.30"
}
Pengayaan Entitas - Awalan SumoLogicCloudSIEM_
| Nama Kolom Pengayaan | Sumber (Kunci JSON) | Logika - Kapan harus diterapkan |
|---|---|---|
| isSuppressed | isSuppressed | Jika tersedia dalam JSON |
| isWhitelisted | isWhitelisted | Jika tersedia dalam JSON |
| tags | CSV tag | Jika tersedia dalam JSON |
| firstSeen | firstSeen | Jika tersedia dalam JSON |
| lastSeen | lastSeen | Jika tersedia dalam JSON |
| kekritisan | kekritisan | Jika tersedia dalam JSON |
| activityScore | activityScore | Jika tersedia dalam JSON |
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika data tersedia untuk satu entitas (is_success=true): "Successfully enriched the following entities using information from Harmony Mobile: {entity.identifier}". Jika data tidak tersedia untuk satu entitas (is_success=true): "Action wasn't able to enrich the following entities using information from Sumo Logic Cloud SIEM: {entity.identifier}" (Tindakan tidak dapat memperkaya entitas berikut menggunakan informasi dari Sumo Logic Cloud SIEM: {entity.identifier}) Jika data tidak tersedia untuk semua entitas (is_success=false): "Tidak ada entitas yang disediakan yang diperkaya." Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Perkaya Entitas". Alasan: {0}''.format(error.Stacktrace) |
Umum |
| Tabel Repositori Kasus | Judul Tabel: {entity.identifier} Kolom Tabel:
|
Entity |
Konektor
Sumo Logic Cloud SIEM - Konektor Insight
Deskripsi
Tarik informasi tentang insight dari Sumo Logic Cloud SIEM.
Mengonfigurasi Konektor Insight - Cloud SIEM Sumo Logic di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | T/A | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | generalized_data_name | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
| Nama Kolom Lingkungan | String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
| Pola Regex Lingkungan | String | .* | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | https://{instance} | Ya | Root API instance Sumo Logic Cloud SIEM. |
| Kunci API | String | T/A | Tidak | Kunci API akun Sumo Logic Cloud SIEM. Catatan: Kunci API memiliki prioritas lebih tinggi daripada metode autentikasi lainnya. |
| ID Akses | String | T/A | Tidak | ID Akses akun Sumo Logic Cloud SIEM. Catatan: ID Akses dan Kunci Akses diperlukan untuk jenis autentikasi ini. |
| Kunci Akses | Rahasia | T/A | Tidak | Kunci Akses akun Sumo Logic Cloud SIEM. Catatan: ID Akses dan Kunci Akses diperlukan untuk jenis autentikasi ini. |
| Tingkat Keparahan Terendah yang Akan Diambil | String | T/A | Tidak | Prioritas terendah yang perlu digunakan untuk mengambil kasus. Kemungkinan nilai: Rendah, Sedang, Tinggi, Kritis. Jika tidak ada yang ditentukan, konektor akan menyerap insight dengan semua tingkat keparahan. |
| Maks. Jam Mundur | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat untuk mengambil insight. |
| Insight Maksimal yang Akan Diambil | Bilangan bulat | 20 | Tidak | Jumlah insight yang akan diproses per iterasi konektor. |
| Menggunakan daftar dinamis sebagai daftar hitam | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, daftar dinamis akan digunakan sebagai daftar hitam. |
| Verifikasi SSL | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, pastikan sertifikat SSL untuk koneksi ke server Sumo Logic Cloud SIEM valid. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
Aturan konektor
Dukungan proxy
Konektor mendukung proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.