Sumo Logic Cloud SIEM
Versão da integração: 8.0
Configure a integração do Sumo Logic Cloud SIEM no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{instance} | Sim | Raiz da API da instância do Sumo Logic Cloud SIEM. |
| Chave de API | String | N/A | Não | Chave da API da conta do Sumo Logic Cloud SIEM. Nota: a chave da API tem prioridade sobre outros métodos de autenticação. |
| ID de acesso | String | N/A | Não | ID de acesso da conta do Sumo Logic Cloud SIEM. Nota: o ID de acesso e a chave de acesso são necessários para este tipo de autenticação. |
| Chave de acesso | String | N/A | Não | Chave de acesso da conta do Sumo Logic Cloud SIEM. Nota: o ID de acesso e a chave de acesso são necessários para este tipo de autenticação. |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Se estiver ativado, verifique se o certificado SSL para a ligação ao servidor Sumo Logic Cloud SIEM é válido. |
Exemplos de utilização
Alertas de carregamento.
Ações
Tchim-tchim
Descrição
Teste a conetividade ao Sumo Logic Cloud SIEM com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Executar em
Esta ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for bem-sucedido: "Ligação estabelecida com êxito ao servidor do Sumo Logic Cloud SIEM com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: "Não foi possível estabelecer ligação ao servidor Sumo Logic Cloud SIEM! O erro é {0}".format(exception.stacktrace) |
Geral |
Sinais de entidades de pesquisa
Descrição
Pesquise sinais relacionados com entidades no Sumo Logic Cloud SIEM. Entidades suportadas: Endereço IP, nome de anfitrião, nome de utilizador.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Gravidade mais baixa a devolver | Número inteiro | 5 | Não | Especifique o número de gravidade mais baixo que é usado para devolver sinais. Máximo: 10 |
| Intervalo de tempo | LDD | Última hora Valores possíveis:
|
Não | Especifique um período para os resultados. Se selecionar "Personalizado", também tem de indicar a "Hora de início". Se a opção "Tempo de alerta até agora" estiver selecionada, a ação usa a hora de início do alerta como hora de início da pesquisa e a hora de fim é a hora atual. Se selecionar "30 minutos antes e depois da hora do alerta", a ação procura os alertas 30 minutos antes de o alerta ocorrer até 30 minutos depois de o alerta ter ocorrido. A mesma ideia aplica-se a "1 hora antes/depois da hora do alerta" e "5 minutos antes/depois da hora do alerta" |
| Hora de início | String | N/A | Não | Especifique a hora de início dos resultados. Este parâmetro é obrigatório se "Personalizado" estiver selecionado para o parâmetro "Intervalo de tempo". Formato: ISO 8601 |
| Hora de fim | String | N/A | Não | Especifique a hora de fim dos resultados. Se não for fornecido nada e "Personalizado" for selecionado para o parâmetro "Intervalo de tempo", este parâmetro usa a hora atual. Formato: ISO 8601 |
| Número máximo de sinais a devolver | Número inteiro | 50 | Não | Especifique o número de sinais a devolver por entidade. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
- Nome de utilizador
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
[
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "bL0ofHLH",
"event_message": "Failed password for invalid user",
"src_port": "39788"
},
"friendlyName": "record",
"hour": 10,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646994593976,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646994592,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646994592000,
"uid": "7a89ebd4-3346-59fe-839a-9fc9bf99f51a",
"user_username": "bL0ofHLH",
"user_username_raw": "bL0ofHLH",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "a9288779-354c-5a61-b492-f617d302c5ed",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"suppressed": true,
"tags": [
"_mitreAttackTactic:TA0001",
"_mitreAttackTactic:TA0006",
"_mitreAttackTechnique:T1110",
"_mitreAttackTechnique:T1078",
"_mitreAttackTechnique:T1078.001",
"_mitreAttackTechnique:T1078.002",
"_mitreAttackTechnique:T1078.003",
"_mitreAttackTechnique:T1078.004",
"_mitreAttackTechnique:T1586",
"_mitreAttackTechnique:T1586.001",
"_mitreAttackTechnique:T1586.002",
"_mitreAttackTactic:TA0008",
"_mitreAttackTechnique:T1110.003",
"_mitreAttackTechnique:T1110.002",
"_mitreAttackTechnique:T1110.001"
],
"timestamp": "2022-03-11T10:29:52"
}
]
Enriquecimento de entidades
N/A
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: If found at least one signal (is_success=true): "Successfully returned signals for the following entities in Sumo Logic Cloud SIEM: {entities}." Se não foi encontrado nada para uma entidade (is_success=true): "Não foram encontrados sinais para as seguintes entidades no Sumo Logic Cloud SIEM: {entities}." Se não for encontrado nada para todas as entidades (is_success=true): "Não foram encontrados sinais para as entidades fornecidas no Sumo Logic Cloud SIEM." Se o código de estado 500 for comunicado para uma entidade (is_success=true): "Não foi possível obter sinais para as seguintes entidades no Sumo Logic Cloud SIEM: {entities}." Se o código de estado 500 for comunicado para todas as entidades (is_success=false): "Não foi possível obter sinais para as entidades fornecidas no Sumo Logic Cloud SIEM." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Pesquisar sinais de entidades". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Atualizar estatística
Descrição
Atualize o estado das estatísticas no Sumo Logic Cloud SIEM.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da informação | String | N/A | Sim | Especifique o ID da estatística que tem de ser atualizada. |
| Estado | LDD | Selecione uma opção Valores possíveis:
|
Sim | Especifique o estado a definir para a estatística. |
| Tipo de destinatário | LDD | Utilizador Valores possíveis:
|
Sim | Especifique o tipo de cessionário para o parâmetro "Cessionário". |
| Atribuído a | String | N/A | Não | Especifique o identificador do cessionário. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
{
"data": {
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
},
"errors": []
}
Enriquecimento de entidades
N/A
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se o código de estado 200 for comunicado (is_success=true): "Successfully updated insight with ID "{id}" in Sumo Logic Cloud SIEM." (Informações atualizadas com êxito com o ID "{id}" no Sumo Logic Cloud SIEM.) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Atualizar estatísticas". Motivo: {0}''.format(error.Stacktrace) Se forem comunicados erros: "Erro ao executar a ação "Atualizar estatísticas". Motivo: {message}." Se "Selecionar uma" estiver selecionado para o parâmetro "Estado" e não for fornecido nenhum responsável: "Erro ao executar a ação "Atualizar estatísticas". Motivo: tem de indicar o estado ou o responsável." |
Geral |
Adicionar comentário à estatística
Descrição
Adicione um comentário a uma estatística no Sumo Logic Cloud SIEM.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da informação | String | N/A | Sim | Especifique o ID da estatística à qual a ação tem de adicionar um comentário. |
| Comentário | String | N/A | Sim | Especifique o comentário que tem de ser adicionado à estatística. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
Enriquecimento de entidades
N/A
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for comunicado o código de estado 200 (is_success=true): "Successfully added a comment to an insight with ID "{id}" in Sumo Logic Cloud SIEM." (Foi adicionado com êxito um comentário a uma estatística com o ID "{id}" no Sumo Logic Cloud SIEM.) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Adicionar comentário à estatística". Motivo: {0}''.format(error.Stacktrace) Se forem comunicados erros: "Erro ao executar a ação "Adicionar comentário à estatística". Motivo: {message}. |
Geral |
Adicione etiquetas às estatísticas
Descrição
Adicione etiquetas a uma estatística no Sumo Logic Cloud SIEM.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da informação | String | N/A | Sim | Especifique o ID da estatística à qual a ação tem de adicionar etiquetas. |
| Etiquetas | CSV | N/A | Sim | Especifique uma lista de etiquetas separadas por vírgulas que têm de ser adicionadas à estatística. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
Enriquecimento de entidades
N/A
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se for comunicado o código de estado 200 (is_success=true): "Successfully added tags to an insight with ID "{id}" in Sumo Logic Cloud SIEM." (Foram adicionadas etiquetas com êxito a uma estatística com o ID "{id}" no Sumo Logic Cloud SIEM.) A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Adicionar etiquetas a estatísticas". Motivo: {0}''.format(error.Stacktrace) Se forem comunicados erros: "Erro ao executar a ação "Adicionar etiquetas a estatísticas". Motivo: {message}. |
Geral |
Enriquecer entidades
Descrição
Enriqueça as entidades com informações do Sumo Logic Cloud SIEM. Entidades suportadas: nome do anfitrião, utilizador e endereço IP.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Crie estatísticas | Caixa de verificação | Marcado | Não | Se estiver ativada, a ação cria uma estatística com todas as informações obtidas sobre a entidade. |
Executar em
Esta ação é executada nas seguintes entidades:
- Nome do anfitrião
- Utilizador
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado JSON
{
"activityScore": 8,
"criticality": null,
"entityType": "_ip",
"firstSeen": null,
"hostname": null,
"id": "_ip-172.30.202.30",
"inventory": [],
"isSuppressed": false,
"isWhitelisted": false,
"lastSeen": "2022-03-11T09:44:53",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": null,
"tags": [],
"value": "172.30.202.30"
}
Enriquecimento de entidades – Prefixo SumoLogicCloudSIEM_
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| isSuppressed | isSuppressed | Quando estiver disponível em JSON |
| isWhitelisted | isWhitelisted | Quando estiver disponível em JSON |
| etiquetas | CSV de etiquetas | Quando estiver disponível em JSON |
| firstSeen | firstSeen | Quando estiver disponível em JSON |
| lastSeen | lastSeen | Quando estiver disponível em JSON |
| criticidade | criticidade | Quando estiver disponível em JSON |
| activityScore | activityScore | Quando estiver disponível em JSON |
Estatísticas
N/A
Case Wall
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se os dados estiverem disponíveis para uma entidade (is_success=true): "As seguintes entidades foram enriquecidas com êxito através de informações do Harmony Mobile: {entity.identifier}". Se os dados não estiverem disponíveis para uma entidade (is_success=true): "Não foi possível enriquecer as seguintes entidades com informações do Sumo Logic Cloud SIEM: {entity.identifier}" Se os dados não estiverem disponíveis para todas as entidades (is_success=false): "Nenhuma das entidades fornecidas foi enriquecida." A ação deve falhar e parar a execução de um guia interativo: Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela de parede da caixa | Título da tabela: {entity.identifier} Colunas da tabela:
|
Entidade |
Conetores
Sumo Logic Cloud SIEM - Insights Connector
Descrição
Extrair informações sobre estatísticas do Sumo Logic Cloud SIEM.
Configure o conetor de estatísticas do Sumo Logic Cloud SIEM no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | N/A | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | generalized_data_name | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{instance} | Sim | Raiz da API da instância do Sumo Logic Cloud SIEM. |
| Chave de API | String | N/A | Não | Chave da API da conta do Sumo Logic Cloud SIEM. Nota: a chave da API tem prioridade sobre outros métodos de autenticação. |
| ID de acesso | String | N/A | Não | ID de acesso da conta do Sumo Logic Cloud SIEM. Nota: o ID de acesso e a chave de acesso são necessários para este tipo de autenticação. |
| Chave de acesso | Secreto | N/A | Não | Chave de acesso da conta do Sumo Logic Cloud SIEM. Nota: o ID de acesso e a chave de acesso são necessários para este tipo de autenticação. |
| Gravidade mais baixa a obter | String | N/A | Não | A prioridade mais baixa que tem de ser usada para obter registos. Valores possíveis: baixo, médio, elevado, crítico. Se nada for especificado, o conector vai carregar estatísticas com todas as gravidades. |
| Máximo de horas para trás | Número inteiro | 1 | Não | Número de horas a partir das quais obter estatísticas. |
| Máximo de estatísticas a obter | Número inteiro | 20 | Não | Número de estatísticas a processar por iteração de conetor. |
| Use uma lista dinâmica como lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a lista dinâmica é usada como uma lista negra. |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Se estiver ativado, verifique se o certificado SSL para a ligação ao servidor Sumo Logic Cloud SIEM é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras de conector
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.