Sumo Logic Cloud SIEM
Versione integrazione: 8.0
Configurare l'integrazione di Sumo Logic Cloud SIEM in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Root API | Stringa | https://{instance} | Sì | Radice dell'API dell'istanza di Sumo Logic Cloud SIEM. |
| Chiave API | Stringa | N/D | No | Chiave API dell'account Sumo Logic Cloud SIEM. Nota:la chiave API ha la priorità rispetto ad altri metodi di autenticazione. |
| ID di accesso | Stringa | N/D | No | ID accesso dell'account Sumo Logic Cloud SIEM. Nota:per questo tipo di autenticazione sono necessari sia l'ID accesso sia la chiave di accesso. |
| Chiave di accesso | Stringa | N/D | No | Chiave di accesso dell'account Sumo Logic Cloud SIEM. Nota:per questo tipo di autenticazione sono necessari sia l'ID accesso sia la chiave di accesso. |
| Verifica SSL | Casella di controllo | Deselezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server Sumo Logic Cloud SIEM sia valido. |
Casi d'uso
Ingloba gli avvisi.
Azioni
Dindin
Descrizione
Testa la connettività a Sumo Logic Cloud SIEM con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Parametri
N/D
Run On
Questa azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: In caso di esito positivo: "Connessione al server Sumo Logic Cloud SIEM riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se l'operazione non va a buon fine: "Impossibile connettersi al server Sumo Logic Cloud SIEM. Error is {0}".format(exception.stacktrace) |
Generale |
Indicatori di ricerca delle entità
Descrizione
Cerca indicatori correlati alle entità in Sumo Logic Cloud SIEM. Entità supportate: Indirizzo IP, nome host, nome utente.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Gravità minima da restituire | Numero intero | 5 | No | Specifica il numero di gravità più basso utilizzato per restituire i segnali. Massimo: 10 |
| Intervallo di tempo | DDL | Ultima ora Valori possibili:
|
No | Specifica un periodo di tempo per i risultati. Se è selezionata l'opzione "Personalizzato", devi fornire anche l'"Ora di inizio". Se è selezionata l'opzione "Tempo avviso fino ad ora", l'azione utilizza l'ora di inizio dell'avviso come ora di inizio della ricerca e l'ora di fine è l'ora attuale. Se è selezionata l'opzione "30 minuti prima e dopo l'ora dell'avviso", l'azione cerca gli avvisi 30 minuti prima e dopo l'ora dell'avviso. Lo stesso concetto si applica a "1 ora prima e dopo l'ora dell'avviso" e "5 minuti prima e dopo l'ora dell'avviso". |
| Ora di inizio | Stringa | N/D | No | Specifica l'ora di inizio per i risultati. Questo parametro è obbligatorio se è selezionato "Personalizzato" per il parametro "Intervallo di tempo". Formato: ISO 8601 |
| Ora di fine | Stringa | N/D | No | Specifica l'ora di fine per i risultati. Se non viene fornito nulla e per il parametro "Intervallo di tempo" è selezionato "Personalizzato", questo parametro utilizza l'ora corrente. Formato: ISO 8601 |
| Numero massimo di indicatori da restituire | Numero intero | 50 | No | Specifica il numero di indicatori da restituire per entità. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Indirizzo IP
- Nome host
- Nome utente
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
[
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "bL0ofHLH",
"event_message": "Failed password for invalid user",
"src_port": "39788"
},
"friendlyName": "record",
"hour": 10,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646994593976,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646994592,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646994592000,
"uid": "7a89ebd4-3346-59fe-839a-9fc9bf99f51a",
"user_username": "bL0ofHLH",
"user_username_raw": "bL0ofHLH",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "a9288779-354c-5a61-b492-f617d302c5ed",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"suppressed": true,
"tags": [
"_mitreAttackTactic:TA0001",
"_mitreAttackTactic:TA0006",
"_mitreAttackTechnique:T1110",
"_mitreAttackTechnique:T1078",
"_mitreAttackTechnique:T1078.001",
"_mitreAttackTechnique:T1078.002",
"_mitreAttackTechnique:T1078.003",
"_mitreAttackTechnique:T1078.004",
"_mitreAttackTechnique:T1586",
"_mitreAttackTechnique:T1586.001",
"_mitreAttackTechnique:T1586.002",
"_mitreAttackTactic:TA0008",
"_mitreAttackTechnique:T1110.003",
"_mitreAttackTechnique:T1110.002",
"_mitreAttackTechnique:T1110.001"
],
"timestamp": "2022-03-11T10:29:52"
}
]
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se è stato trovato almeno un segnale (is_success=true): "Segnali restituiti correttamente per le seguenti entità in Sumo Logic Cloud SIEM: {entities}." Se non è stato trovato nulla per un'entità (is_success=true): "Non sono stati trovati indicatori per le seguenti entità in Sumo Logic Cloud SIEM: {entities}." Se non viene trovato nulla per tutte le entità (is_success=true): "Non sono stati trovati indicatori per le entità fornite in Sumo Logic Cloud SIEM." Se il codice di stato 500 viene segnalato per un'entità (is_success=true): "L'azione non è riuscita a recuperare gli indicatori per le seguenti entità in Sumo Logic Cloud SIEM: {entities}." Se il codice di stato 500 viene segnalato per tutte le entità (is_success=false): "L'azione non è riuscita a recuperare gli indicatori per le entità fornite in Sumo Logic Cloud SIEM." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Cerca indicatori entità". Motivo: {0}''.format(error.Stacktrace) |
Generale |
Aggiornamento dell'insight
Descrizione
Aggiorna lo stato dell'insight in Sumo Logic Cloud SIEM.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID approfondimento | Stringa | N/D | Sì | Specifica l'ID dell'approfondimento da aggiornare. |
| Stato | DDL | Selezionane uno Valori possibili:
|
Sì | Specifica lo stato da impostare per l'approfondimento. |
| Tipo di assegnatario | DDL | Utente Valori possibili:
|
Sì | Specifica il tipo di assegnatario per il parametro "Assegnatario". |
| Assegnatario | Stringa | N/D | No | Specifica l'identificatore dell'assegnatario. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"data": {
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
},
"errors": []
}
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 200 (is_success=true): "Approfondimento aggiornato correttamente con ID "{id}" in Sumo Logic Cloud SIEM." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiorna approfondimento". Motivo: {0}''.format(error.Stacktrace) Se vengono segnalati errori: "Errore durante l'esecuzione dell'azione "Aggiorna approfondimento". Motivo: {message}." Se per il parametro "Stato" è selezionata l'opzione "Seleziona uno" e non viene fornito alcun assegnatario: "Errore durante l'esecuzione dell'azione "Aggiorna approfondimento". Motivo: è necessario fornire lo stato o l'assegnatario." |
Generale |
Aggiungi commento all'insight
Descrizione
Aggiungi un commento a un approfondimento in Sumo Logic Cloud SIEM.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID approfondimento | Stringa | N/D | Sì | Specifica l'ID dell'approfondimento a cui l'azione deve aggiungere un commento. |
| Commento | Stringa | N/D | Sì | Specifica il commento da aggiungere all'approfondimento. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 200 (is_success=true): "Commento aggiunto correttamente a un insight con ID "{id}" in Sumo Logic Cloud SIEM". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiungi commento all'approfondimento". Motivo: {0}''.format(error.Stacktrace) Se vengono segnalati errori: "Errore durante l'esecuzione dell'azione "Aggiungi commento all'approfondimento". Motivo: {message}. |
Generale |
Aggiungere tag all'insight
Descrizione
Aggiungi tag a un insight in Sumo Logic Cloud SIEM.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID approfondimento | Stringa | N/D | Sì | Specifica l'ID dell'approfondimento a cui l'azione deve aggiungere tag. |
| Tag | CSV | N/D | Sì | Specifica un elenco separato da virgole di tag da aggiungere all'insight. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se viene segnalato il codice di stato 200 (is_success=true): "Tag aggiunti correttamente a un insight con ID "{id}" in Sumo Logic Cloud SIEM". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Aggiungi tag all'approfondimento". Motivo: {0}''.format(error.Stacktrace) Se vengono segnalati errori: "Errore durante l'esecuzione dell'azione "Aggiungi tag all'approfondimento". Motivo: {message}. |
Generale |
Arricchisci entità
Descrizione
Arricchisci le entità utilizzando le informazioni di Sumo Logic Cloud SIEM. Entità supportate: nome host, utente, indirizzo IP.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Crea approfondimento | Casella di controllo | Selezionata | No | Se attivata, l'azione crea un approfondimento contenente tutte le informazioni recuperate sull'entità. |
Run On
Questa azione viene eseguita sulle seguenti entità:
- Nome host
- Utente
- Indirizzo IP
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"activityScore": 8,
"criticality": null,
"entityType": "_ip",
"firstSeen": null,
"hostname": null,
"id": "_ip-172.30.202.30",
"inventory": [],
"isSuppressed": false,
"isWhitelisted": false,
"lastSeen": "2022-03-11T09:44:53",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": null,
"tags": [],
"value": "172.30.202.30"
}
Arricchimento entità - Prefisso SumoLogicCloudSIEM_
| Nome campo di arricchimento | Origine (chiave JSON) | Logica - Quando applicarla |
|---|---|---|
| isSuppressed | isSuppressed | Quando disponibile in formato JSON |
| isWhitelisted | isWhitelisted | Quando disponibile in formato JSON |
| Tag | CSV dei tag | Quando disponibile in formato JSON |
| firstSeen | firstSeen | Quando disponibile in formato JSON |
| lastSeen | lastSeen | Quando disponibile in formato JSON |
| criticità | criticità | Quando disponibile in formato JSON |
| activityScore | activityScore | Quando disponibile in formato JSON |
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se i dati sono disponibili per un'entità (is_success=true): "Le seguenti entità sono state arricchite correttamente utilizzando le informazioni di Harmony Mobile: {entity.identifier}". Se i dati non sono disponibili per un'entità (is_success=true): "L'azione non è riuscita ad arricchire le seguenti entità utilizzando le informazioni di Sumo Logic Cloud SIEM: {entity.identifier}" Se i dati non sono disponibili per tutte le entità (is_success=false): "Nessuna delle entità fornite è stata arricchita." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Arricchisci entità". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella Bacheca casi | Titolo della tabella: {entity.identifier} Colonne della tabella:
|
Entità |
Connettori
Sumo Logic Cloud SIEM - Insights Connector
Descrizione
Recupera informazioni sugli approfondimenti da Sumo Logic Cloud SIEM.
Configura il connettore di Sumo Logic Cloud SIEM - Insights in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | N/D | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | generalized_data_name | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| Timeout dello script (secondi) | Numero intero | 180 | Sì | Limite di timeout per il processo Python che esegue lo script corrente. |
| Root API | Stringa | https://{instance} | Sì | Radice dell'API dell'istanza di Sumo Logic Cloud SIEM. |
| Chiave API | Stringa | N/D | No | Chiave API dell'account Sumo Logic Cloud SIEM. Nota:la chiave API ha la priorità rispetto ad altri metodi di autenticazione. |
| ID di accesso | Stringa | N/D | No | ID accesso dell'account Sumo Logic Cloud SIEM. Nota:per questo tipo di autenticazione sono necessari sia l'ID accesso sia la chiave di accesso. |
| Chiave di accesso | Secret | N/D | No | Chiave di accesso dell'account Sumo Logic Cloud SIEM. Nota:per questo tipo di autenticazione sono necessari sia l'ID accesso sia la chiave di accesso. |
| Gravità minima da recuperare | Stringa | N/D | No | La priorità più bassa da utilizzare per recuperare le richieste. Valori possibili: Bassa, Media, Alta, Critica. Se non viene specificato nulla, il connettore acquisisce gli approfondimenti con tutte le gravità. |
| Ore massime indietro | Numero intero | 1 | No | Numero di ore da cui recuperare gli approfondimenti. |
| Numero massimo di approfondimenti da recuperare | Numero intero | 20 | No | Numero di approfondimenti da elaborare per un'iterazione del connettore. |
| Utilizzare l'elenco dinamico come lista bloccata | Casella di controllo | Deselezionata | Sì | Se abilitato, l'elenco dinamico viene utilizzato come lista nera. |
| Verifica SSL | Casella di controllo | Deselezionata | Sì | Se abilitato, verifica che il certificato SSL per la connessione al server Sumo Logic Cloud SIEM sia valido. |
| Indirizzo del server proxy | Stringa | N/D | No | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | N/D | No | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | N/D | No | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto del proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.