Sumo Logic Cloud SIEM
통합 버전: 8.0
Google Security Operations에서 Sumo Logic Cloud SIEM 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| API 루트 | 문자열 | https://{instance} | 예 | Sumo Logic Cloud SIEM 인스턴스의 API 루트입니다. |
| API 키 | 문자열 | 해당 사항 없음 | 아니요 | Sumo Logic Cloud SIEM 계정의 API 키입니다. 참고: API 키는 다른 인증 방법보다 우선합니다. |
| 액세스 ID | 문자열 | 해당 사항 없음 | 아니요 | Sumo Logic Cloud SIEM 계정의 액세스 ID입니다. 참고: 이 유형의 인증에는 액세스 ID와 액세스 키가 모두 필요합니다. |
| 액세스 키 | 문자열 | 해당 사항 없음 | 아니요 | Sumo Logic Cloud SIEM 계정의 액세스 키입니다. 참고: 이 유형의 인증에는 액세스 ID와 액세스 키가 모두 필요합니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 Sumo Logic Cloud SIEM 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
사용 사례
알림을 수집합니다.
작업
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Sumo Logic Cloud SIEM에 대한 연결을 테스트합니다.
매개변수
해당 사항 없음
실행
이 작업은 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
N/A
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 Sumo Logic Cloud SIEM 서버에 성공적으로 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 실패한 경우: 'Sumo Logic Cloud SIEM 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace) |
일반 |
검색 항목 신호
설명
Sumo Logic Cloud SIEM에서 엔티티와 관련된 신호를 검색합니다. 지원되는 항목: IP 주소, 호스트 이름, 사용자 이름
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 반환할 가장 낮은 심각도 | 정수 | 5 | 아니요 | 신호를 반환하는 데 사용되는 가장 낮은 심각도 번호를 지정합니다. 최대: 10 |
| 기간 | DDL | 지난 1시간 가능한 값은 다음과 같습니다.
|
No | 결과 기간을 지정합니다. '맞춤'을 선택한 경우 '시작 시간'도 제공해야 합니다. '현재까지의 알림 시간'을 선택하면 작업에서 알림 시작 시간을 검색 시작 시간으로 사용하고 종료 시간이 현재 시간입니다. '알림 시간 약 30분'을 선택하면 작업에서 알림 발생 30분 전부터 알림 발생 후 30분까지 알림을 검색합니다. '알림 시간 약 1시간'과 '알림 시간 약 5분'에도 같은 개념이 적용됩니다. |
| 시작 시간 | 문자열 | 해당 사항 없음 | No | 결과 시작 시간을 지정합니다. '기간' 매개변수에 '커스텀'을 선택한 경우 이 매개변수는 필수 항목입니다. 형식: ISO 8601 |
| 종료 시간 | 문자열 | 해당 사항 없음 | No | 결과 종료 시간을 지정합니다. 아무것도 제공하지 않고 '기간' 매개변수에 '커스텀'을 선택하면 이 매개변수는 현재 시간을 사용합니다. 형식: ISO 8601 |
| 반환할 최대 신호 수 | 정수 | 50 | 아니요 | 항목당 반환할 신호 수를 지정합니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- IP 주소
- 호스트 이름
- 사용자 이름
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
[
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "bL0ofHLH",
"event_message": "Failed password for invalid user",
"src_port": "39788"
},
"friendlyName": "record",
"hour": 10,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646994593976,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646994592,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646994592000,
"uid": "7a89ebd4-3346-59fe-839a-9fc9bf99f51a",
"user_username": "bL0ofHLH",
"user_username_raw": "bL0ofHLH",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "a9288779-354c-5a61-b492-f617d302c5ed",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"suppressed": true,
"tags": [
"_mitreAttackTactic:TA0001",
"_mitreAttackTactic:TA0006",
"_mitreAttackTechnique:T1110",
"_mitreAttackTechnique:T1078",
"_mitreAttackTechnique:T1078.001",
"_mitreAttackTechnique:T1078.002",
"_mitreAttackTechnique:T1078.003",
"_mitreAttackTechnique:T1078.004",
"_mitreAttackTechnique:T1586",
"_mitreAttackTechnique:T1586.001",
"_mitreAttackTechnique:T1586.002",
"_mitreAttackTactic:TA0008",
"_mitreAttackTechnique:T1110.003",
"_mitreAttackTechnique:T1110.002",
"_mitreAttackTechnique:T1110.001"
],
"timestamp": "2022-03-11T10:29:52"
}
]
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 신호가 하나 이상 발견된 경우 (is_success=true): 'Sumo Logic Cloud SIEM: {entities}에서 다음 항목의 신호를 성공적으로 반환했습니다.' 항목 하나에 아무것도 없는 경우 (is_success=true): 'Sumo Logic Cloud SIEM: {entities}에서 다음 항목에 대한 신호가 없습니다.' 모든 항목에 대해 아무것도 찾을 수 없는 경우 (is_success=true): 'Sumo Logic Cloud SIEM에서 제공된 항목에 대한 신호를 찾을 수 없습니다.' 항목 하나에 500 상태 코드가 보고된 경우 (is_success=true): '작업이 Sumo Logic Cloud SIEM: {entities}에서 다음 항목의 신호를 가져올 수 없습니다.' 모든 항목에 대해 500 상태 코드가 보고된 경우 (is_success=false): '작업에서 Sumo Logic Cloud SIEM의 제공된 항목에 대한 신호를 가져올 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''엔티티 신호 검색' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) |
일반 |
인사이트 업데이트
설명
Sumo Logic Cloud SIEM에서 통계 상태를 업데이트합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 통계 ID | 문자열 | 해당 사항 없음 | 예 | 업데이트해야 하는 통계의 ID를 지정합니다. |
| 상태 | DDL | 다음 중 하나를 선택하세요. 가능한 값은 다음과 같습니다.
|
예 | 통계에 설정할 상태를 지정합니다. |
| 담당자 유형 | DDL | 사용자 가능한 값은 다음과 같습니다.
|
예 | 'Assignee' 매개변수의 할당자 유형을 지정합니다. |
| 담당자 | 문자열 | 해당 사항 없음 | 아니요 | 담당자 식별자를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"data": {
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
},
"errors": []
}
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 200 상태 코드가 보고된 경우 (is_success=true): 'Sumo Logic Cloud SIEM에서 ID '{id}'로 통계를 업데이트했습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''통계 업데이트' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) 오류가 보고된 경우: "Error executing action "Update Insight". 이유: {message}.' '상태' 매개변수에 '하나 선택'이 선택되어 있고 담당자가 제공되지 않은 경우: ''통계 업데이트' 작업을 실행하는 동안 오류가 발생했습니다. 이유: 상태 또는 담당자를 제공해야 합니다.' |
일반 |
인사이트에 댓글 추가
설명
Sumo Logic Cloud SIEM의 통계에 댓글을 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 통계 ID | 문자열 | 해당 사항 없음 | 예 | 작업에서 댓글을 추가해야 하는 통계의 ID를 지정합니다. |
| 댓글 | 문자열 | 해당 사항 없음 | 예 | 통계에 추가해야 하는 의견을 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 200 상태 코드가 보고된 경우 (is_success=true): 'Sumo Logic Cloud SIEM에서 ID가 '{id}'인 통계에 댓글을 추가했습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''인사이트에 댓글 추가' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace) 오류가 보고된 경우: "Error executing action "Add Comment To Insight". 이유: {message} |
일반 |
인사이트에 태그 추가
설명
Sumo Logic Cloud SIEM에서 통계에 태그를 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 통계 ID | 문자열 | 해당 사항 없음 | 예 | 작업에서 태그를 추가해야 하는 통계의 ID를 지정합니다. |
| 태그 | CSV | 해당 사항 없음 | 예 | 통계에 추가해야 하는 태그를 쉼표로 구분하여 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
항목 보강
해당 사항 없음
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 200 상태 코드가 보고된 경우 (is_success=true): 'Sumo Logic Cloud SIEM에서 ID가 '{id}'인 통계에 태그를 추가했습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''통계에 태그 추가' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) 오류가 보고된 경우: "Error executing action "Add Tags To Insight". 이유: {message} |
일반 |
항목 보강
설명
Sumo Logic Cloud SIEM의 정보를 사용하여 항목을 보강합니다. 지원되는 항목: 호스트 이름, 사용자, IP 주소
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 통계 만들기 | 체크박스 | 선택 | No | 사용 설정하면 작업에서 항목에 대한 모든 검색된 정보가 포함된 통계를 만듭니다. |
실행
이 작업은 다음 항목에서 실행됩니다.
- 호스트 이름
- 사용자
- IP 주소
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 결과
{
"activityScore": 8,
"criticality": null,
"entityType": "_ip",
"firstSeen": null,
"hostname": null,
"id": "_ip-172.30.202.30",
"inventory": [],
"isSuppressed": false,
"isWhitelisted": false,
"lastSeen": "2022-03-11T09:44:53",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": null,
"tags": [],
"value": "172.30.202.30"
}
항목 보강 - 접두사 SumoLogicCloudSIEM_
| 보강 필드 이름 | 소스(JSON 키) | 로직 - 적용 시기 |
|---|---|---|
| isSuppressed | isSuppressed | JSON으로 제공되는 경우 |
| isWhitelisted | isWhitelisted | JSON으로 제공되는 경우 |
| tags | 태그 CSV | JSON으로 제공되는 경우 |
| firstSeen | firstSeen | JSON으로 제공되는 경우 |
| lastSeen | lastSeen | JSON으로 제공되는 경우 |
| 중요도 | 중요도 | JSON으로 제공되는 경우 |
| activityScore | activityScore | JSON으로 제공되는 경우 |
통계
해당 사항 없음
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 항목 하나에 데이터를 사용할 수 있는 경우 (is_success=true): 'Harmony Mobile: {entity.identifier}의 정보를 사용하여 다음 항목을 성공적으로 보강했습니다.' 항목 하나에 데이터를 사용할 수 없는 경우 (is_success=true): '작업에서 Sumo Logic Cloud SIEM: {entity.identifier}의 정보를 사용하여 다음 항목을 보강할 수 없습니다.' 모든 항목에 데이터를 사용할 수 없는 경우(is_success=false): '제공된 항목이 보강되지 않았습니다.' 작업이 실패하고 플레이북 실행을 중지해야 합니다. 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''항목 보강' 작업 실행 중에 오류가 발생했습니다' 이유: {0}''.format(error.Stacktrace) |
일반 |
| 케이스 월 테이블 | 테이블 제목: {entity.identifier} 테이블 열:
|
항목 |
커넥터
Sumo Logic Cloud SIEM - Insights Connector
설명
Sumo Logic Cloud SIEM에서 통계에 관한 정보를 가져옵니다.
Google SecOps에서 Sumo Logic Cloud SIEM - Insights Connector 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 해당 사항 없음 | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 이벤트 필드 이름 | 문자열 | generalized_data_name | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| API 루트 | 문자열 | https://{instance} | 예 | Sumo Logic Cloud SIEM 인스턴스의 API 루트입니다. |
| API 키 | 문자열 | 해당 사항 없음 | 아니요 | Sumo Logic Cloud SIEM 계정의 API 키입니다. 참고: API 키는 다른 인증 방법보다 우선합니다. |
| 액세스 ID | 문자열 | 해당 사항 없음 | 아니요 | Sumo Logic Cloud SIEM 계정의 액세스 ID입니다. 참고: 이 유형의 인증에는 액세스 ID와 액세스 키가 모두 필요합니다. |
| 액세스 키 | 보안 비밀 | 해당 사항 없음 | 아니요 | Sumo Logic Cloud SIEM 계정의 액세스 키입니다. 참고: 이 유형의 인증에는 액세스 ID와 액세스 키가 모두 필요합니다. |
| 가져올 가장 낮은 심각도 | 문자열 | 해당 사항 없음 | 아니요 | 케이스를 가져오는 데 사용해야 하는 가장 낮은 우선순위입니다. 가능한 값: 낮음, 중간, 높음, 심각 아무것도 지정하지 않으면 커넥터는 모든 심각도의 통계를 수집합니다. |
| 최대 이전 시간 | 정수 | 1 | 아니요 | 통계를 가져올 위치로부터의 시간입니다. |
| 가져올 최대 통계 수 | 정수 | 20 | 아니요 | 커넥터 반복당 처리할 통계 수입니다. |
| 동적 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 동적 목록이 차단 목록으로 사용됩니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 Sumo Logic Cloud SIEM 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.