Sumo Logic Cloud SIEM
統合バージョン: 8.0
Google Security Operations で Sumo Logic Cloud SIEM の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API ルート | 文字列 | https://{instance} | はい | Sumo Logic Cloud SIEM インスタンスの API ルート。 |
| API キー | 文字列 | なし | いいえ | Sumo Logic Cloud SIEM アカウントの API キー。 注: API キーは、他の認証方法よりも優先されます。 |
| アクセス ID | 文字列 | なし | いいえ | Sumo Logic Cloud SIEM アカウントのアクセス ID。 注: このタイプの認証には、アクセス ID とアクセスキーの両方が必要です。 |
| アクセスキー | 文字列 | なし | いいえ | Sumo Logic Cloud SIEM アカウントのアクセスキー。 注: このタイプの認証には、アクセス ID とアクセスキーの両方が必要です。 |
| SSL を確認する | チェックボックス | オフ | はい | 有効になっている場合は、Sumo Logic Cloud SIEM サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
ユースケース
アラートを取り込みます。
操作
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで指定されたパラメータを使用して、Sumo Logic Cloud SIEM への接続をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「指定された接続パラメータを使用して Sumo Logic Cloud SIEM サーバーに正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 成功しなかった場合:「Sumo Logic Cloud SIEM サーバーへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace) |
全般 |
検索エンティティ シグナル
説明
Sumo Logic Cloud SIEM でエンティティに関連するシグナルを検索します。サポートされるエンティティ: IP アドレス、ホスト名、ユーザー名。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 返す最も低い重大度 | Integer | 5 | いいえ | シグナルを返すために使用される最も低い重大度番号を指定します。 最大: 10 |
| 期間 | DDL | Last Hour 有効な値:
|
いいえ | 結果の期間を指定します。 「カスタム」を選択した場合は、「開始時刻」も指定する必要があります。 [現在までのアラート時間] が選択されている場合、アクションでは、アラートの開始時刻が検索の開始時刻として使用され、終了時刻が現在の時刻になります。 [アラート時間の前後 30 分] を選択した場合、アクションでは、アラートが発生する 30 分前からアラート発生の 30 分後までアラートが検索されます。「アラート時間の前後 1 時間」と「アラート時間の前後 5 分」にも同じ考え方が適用されます。 |
| 開始時刻 | 文字列 | なし | いいえ | 結果の開始時刻を指定します。 「期間」パラメータに「カスタム」が選択されている場合、このパラメータは必須です。 形式: ISO 8601 |
| 終了時刻 | 文字列 | なし | いいえ | 結果の終了時刻を指定します。 何も指定されず、「期間」パラメータで「カスタム」が選択されている場合、このパラメータでは現在の時刻が使用されます。 形式: ISO 8601 |
| 返されるシグナルの最大数 | Integer | 50 | いいえ | エンティティごとに返されるシグナルの数を指定します。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
- ユーザー名
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
[
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "bL0ofHLH",
"event_message": "Failed password for invalid user",
"src_port": "39788"
},
"friendlyName": "record",
"hour": 10,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646994593976,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646994592,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646994592000,
"uid": "7a89ebd4-3346-59fe-839a-9fc9bf99f51a",
"user_username": "bL0ofHLH",
"user_username_raw": "bL0ofHLH",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "a9288779-354c-5a61-b492-f617d302c5ed",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"suppressed": true,
"tags": [
"_mitreAttackTactic:TA0001",
"_mitreAttackTactic:TA0006",
"_mitreAttackTechnique:T1110",
"_mitreAttackTechnique:T1078",
"_mitreAttackTechnique:T1078.001",
"_mitreAttackTechnique:T1078.002",
"_mitreAttackTechnique:T1078.003",
"_mitreAttackTechnique:T1078.004",
"_mitreAttackTechnique:T1586",
"_mitreAttackTechnique:T1586.001",
"_mitreAttackTechnique:T1586.002",
"_mitreAttackTactic:TA0008",
"_mitreAttackTechnique:T1110.003",
"_mitreAttackTechnique:T1110.002",
"_mitreAttackTechnique:T1110.001"
],
"timestamp": "2022-03-11T10:29:52"
}
]
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 少なくとも 1 つのシグナルが見つかった場合(is_success=true): 「Sumo Logic Cloud SIEM で次のエンティティのシグナルが正常に返されました: {entities}。」 1 つのエンティティに対して何も見つからなかった場合(is_success=true): 「Sumo Logic Cloud SIEM で次のエンティティのシグナルが見つかりませんでした: {entities}。」 すべてのエンティティで何も見つからない場合(is_success=true): 「Sumo Logic Cloud SIEM で指定されたエンティティのシグナルが見つかりませんでした。」 1 つのエンティティについて 500 ステータス コードが報告された場合(is_success=true): 「Sumo Logic Cloud SIEM で次のエンティティのシグナルを取得できませんでした: {エンティティ}。」 すべてのエンティティに対して 500 ステータス コードが報告された場合(is_success=false): 「Sumo Logic Cloud SIEM で指定されたエンティティのシグナルを取得できませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「エンティティ シグナルの検索」の実行エラー。理由: {0}」.format(error.Stacktrace) |
一般 |
分析情報を更新する
説明
Sumo Logic Cloud SIEM で分析情報のステータスを更新します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インサイト ID | 文字列 | なし | はい | 更新する分析情報の ID を指定します。 |
| ステータス | DDL | 1 つ選択 有効な値:
|
はい | 分析情報に設定するステータスを指定します。 |
| 割り当て先のタイプ | DDL | ユーザー 有効な値:
|
はい | [Assignee] パラメータの割り当て先タイプを指定します。 |
| 割り当て先 | 文字列 | なし | いいえ | 割り当て先の ID を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"data": {
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
},
"errors": []
}
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 200 ステータス コードが報告された場合(is_success=true): 「Sumo Logic Cloud SIEM で ID "{id}" の分析情報が正常に更新されました。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「分析情報の更新」の実行エラー。理由: {0}」.format(error.Stacktrace) エラーが報告された場合: 「アクション「分析情報を更新」の実行エラー。理由: {メッセージ}。' 「ステータス」パラメータで「1 つ選択」が選択され、割り当て先が指定されていない場合:「アクション「分析情報の更新」の実行エラー。理由: ステータスまたは割り当て先のいずれかを指定する必要があります。」 |
全般 |
インサイトにコメントを追加
説明
Sumo Logic Cloud SIEM の分析情報にコメントを追加します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インサイト ID | 文字列 | なし | はい | アクションでコメントを追加する必要がある分析情報の ID を指定します。 |
| コメント | 文字列 | なし | はい | 分析情報に追加する必要があるコメントを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 200 ステータス コードが報告された場合(is_success=true): 「Sumo Logic Cloud SIEM で ID "{id}" の分析情報にコメントが正常に追加されました。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「分析情報にコメントを追加」の実行エラー。理由: {0}」.format(error.Stacktrace) エラーが報告された場合: 「"分析情報にコメントを追加"という操作の実行中にエラーが発生しました。」理由: {メッセージ}。 |
全般 |
インサイトにタグを追加する
説明
Sumo Logic Cloud SIEM の分析情報にタグを追加します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インサイト ID | 文字列 | なし | はい | アクションでタグを追加する必要がある分析情報の ID を指定します。 |
| タグ | CSV | なし | はい | 分析情報に追加する必要があるタグのカンマ区切りのリストを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 200 ステータス コードが報告された場合(is_success=true): 「Sumo Logic Cloud SIEM で ID "{id}" の分析情報にタグが正常に追加されました。」 アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「分析情報にタグを追加」の実行エラー。理由: {0}」.format(error.Stacktrace) エラーが報告された場合: 「アクション「分析情報にタグを追加」の実行エラー。理由: {メッセージ}。 |
全般 |
エンティティの拡充
説明
Sumo Logic Cloud SIEM の情報を使用してエンティティを拡充します。サポートされるエンティティ: ホスト名、ユーザー、IP アドレス。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インサイトの作成 | チェックボックス | オン | いいえ | 有効にすると、エンティティに関して取得したすべての情報を含むインサイトが作成されます。 |
実行
このアクションは次のエンティティに対して実行されます。
- ホスト名
- ユーザー
- IP アドレス
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"activityScore": 8,
"criticality": null,
"entityType": "_ip",
"firstSeen": null,
"hostname": null,
"id": "_ip-172.30.202.30",
"inventory": [],
"isSuppressed": false,
"isWhitelisted": false,
"lastSeen": "2022-03-11T09:44:53",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": null,
"tags": [],
"value": "172.30.202.30"
}
エンティティの拡充 - 接頭辞 SumoLogicCloudSIEM_
| 拡充フィールド名 | ソース(JSON キー) | ロジック - 適用するタイミング |
|---|---|---|
| isSuppressed | isSuppressed | JSON で利用可能な場合 |
| isWhitelisted | isWhitelisted | JSON で利用可能な場合 |
| tags | タグの CSV | JSON で利用可能な場合 |
| firstSeen | firstSeen | JSON で利用可能な場合 |
| lastSeen | lastSeen | JSON で利用可能な場合 |
| 重要度 | 重要度 | JSON で利用可能な場合 |
| activityScore | activityScore | JSON で利用可能な場合 |
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 1 つのエンティティにデータが利用可能な場合(is_success=true): 「Harmony Mobile の情報を使用して次のエンティティを拡充しました: {entity.identifier}」 1 つのエンティティにデータが利用できない場合(is_success=true): 「アクションは、Sumo Logic Cloud SIEM の情報を使用して次のエンティティを拡充できませんでした: {entity.identifier}」 すべてのエンティティでデータが利用可能でない場合(is_success=false): 「指定されたエンティティが拡充されませんでした。」 アクションが失敗し、Playbook の実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラーが報告された場合:「アクション「エンティティの拡充」の実行エラー。理由: {0}」.format(error.Stacktrace) |
一般 |
| Case Wall テーブル | テーブルのタイトル: {entity.identifier} テーブル列:
|
エンティティ |
コネクタ
Sumo Logic Cloud SIEM - Insights Connector
説明
Sumo Logic Cloud SIEM から分析情報に関する情報を pull します。
Google SecOps で Sumo Logic Cloud SIEM - Insights Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | なし | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | generalized_data_name | はい | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API ルート | 文字列 | https://{instance} | はい | Sumo Logic Cloud SIEM インスタンスの API ルート。 |
| API キー | 文字列 | なし | いいえ | Sumo Logic Cloud SIEM アカウントの API キー。 注: API キーは、他の認証方法よりも優先されます。 |
| アクセス ID | 文字列 | なし | いいえ | Sumo Logic Cloud SIEM アカウントのアクセス ID。 注: このタイプの認証には、アクセス ID とアクセスキーの両方が必要です。 |
| アクセスキー | シークレット | なし | いいえ | Sumo Logic Cloud SIEM アカウントのアクセスキー。 注: このタイプの認証には、アクセス ID とアクセスキーの両方が必要です。 |
| 取得する最も低い重大度 | 文字列 | なし | いいえ | ケースの取得に使用する必要がある最も低い優先度。 有効な値: 低、中、高、重大。 何も指定しないと、コネクタはすべての重大度の分析情報を取り込みます。 |
| 最大遡及時間 | 整数 | 1 | いいえ | 分析情報を取得する時点からの時間数。 |
| 取得する分析情報の最大数 | Integer | 20 | いいえ | 1 回のコネクタのイテレーションで処理する分析情報の数。 |
| 動的リストを拒否リストとして使用する | チェックボックス | オフ | はい | 有効にすると、動的リストが拒否リストとして使用されます。 |
| SSL を確認する | チェックボックス | オフ | はい | 有効になっている場合は、Sumo Logic Cloud SIEM サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタルール
プロキシのサポート
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。