Cloud SIEM da Sumo Logic
Versão da integração: 8.0
Configurar a integração do Sumo Logic Cloud SIEM no Google Security Operations
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://{instance} | Sim | Raiz da API da instância do Cloud SIEM do Sumo Logic. |
| Chave de API | String | N/A | Não | Chave de API da conta do Cloud SIEM do Sumo Logic. Observação:a chave de API tem prioridade sobre outros métodos de autenticação. |
| ID de acesso | String | N/A | Não | ID de acesso da conta do Cloud SIEM do Sumo Logic. Observação:o ID de acesso e a chave de acesso são obrigatórios para esse tipo de autenticação. |
| Chave de acesso | String | N/A | Não | Chave de acesso da conta do Cloud SIEM do Sumo Logic. Observação:o ID de acesso e a chave de acesso são obrigatórios para esse tipo de autenticação. |
| Verificar SSL | Caixa de seleção | Desmarcado | Sim | Se ativada, verifique se o certificado SSL da conexão com o servidor do Cloud SIEM do Sumo Logic é válido. |
Casos de uso
Ingerir alertas.
Ações
Ping
Descrição
Teste a conectividade com o Sumo Logic Cloud SIEM usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Parâmetros
N/A
Executar em
Essa ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
N/A
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se a conexão for bem-sucedida: "Conexão concluída com o servidor do Sumo Logic Cloud SIEM usando os parâmetros fornecidos" A ação precisa falhar e interromper a execução de um playbook: Se não der certo: "Não foi possível se conectar ao servidor do Cloud SIEM do Sumo Logic. O erro é {0}".format(exception.stacktrace) |
Geral |
Indicadores de entidade da Pesquisa
Descrição
Pesquise indicadores relacionados a entidades no Cloud SIEM do Sumo Logic. Entidades aceitas: endereço IP, nome de host e nome de usuário.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Gravidade mínima a ser retornada | Número inteiro | 5 | Não | Especifique o menor número de gravidade usado para retornar indicadores. Máximo: 10 |
| Período | DDL | Última hora Valores possíveis:
|
Não | Especifique um período para os resultados. Se "Personalizado" estiver selecionado, você também precisará informar o "Horário de início". Se "Tempo de alerta até agora" estiver selecionado, a ação usará o horário de início do alerta como horário de início da pesquisa, e o horário de término será o horário atual. Se a opção "30 minutos antes e depois do horário do alerta" estiver selecionada, a ação vai pesquisar os alertas 30 minutos antes e depois do horário do alerta. A mesma ideia se aplica a "1 hora antes e depois do horário do alerta" e "5 minutos antes e depois do horário do alerta". |
| Horário de início | String | N/A | Não | Especifique o horário de início dos resultados. Esse parâmetro é obrigatório se "Personalizado" for selecionado para o parâmetro "Período". Formato: ISO 8601 |
| Horário de término | String | N/A | Não | Especifique o horário de término dos resultados. Se nada for fornecido e "Personalizado" for selecionado para o parâmetro "Período", esse parâmetro usará a hora atual. Formato: ISO 8601 |
| Número máximo de indicadores a serem retornados | Número inteiro | 50 | Não | Especifique o número de indicadores a serem retornados por entidade. |
Executar em
Essa ação é executada nas seguintes entidades:
- Endereço IP
- Nome do host
- Nome de usuário
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
[
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "bL0ofHLH",
"event_message": "Failed password for invalid user",
"src_port": "39788"
},
"friendlyName": "record",
"hour": 10,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646994593976,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646994592,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646994592000,
"uid": "7a89ebd4-3346-59fe-839a-9fc9bf99f51a",
"user_username": "bL0ofHLH",
"user_username_raw": "bL0ofHLH",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "a9288779-354c-5a61-b492-f617d302c5ed",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"suppressed": true,
"tags": [
"_mitreAttackTactic:TA0001",
"_mitreAttackTactic:TA0006",
"_mitreAttackTechnique:T1110",
"_mitreAttackTechnique:T1078",
"_mitreAttackTechnique:T1078.001",
"_mitreAttackTechnique:T1078.002",
"_mitreAttackTechnique:T1078.003",
"_mitreAttackTechnique:T1078.004",
"_mitreAttackTechnique:T1586",
"_mitreAttackTechnique:T1586.001",
"_mitreAttackTechnique:T1586.002",
"_mitreAttackTactic:TA0008",
"_mitreAttackTechnique:T1110.003",
"_mitreAttackTechnique:T1110.002",
"_mitreAttackTechnique:T1110.001"
],
"timestamp": "2022-03-11T10:29:52"
}
]
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se pelo menos um indicador for encontrado (is_success=true): "Indicadores retornados com sucesso para as seguintes entidades no Sumo Logic Cloud SIEM: {entities}." Se nada for encontrado para uma entidade (is_success=true): "Nenhum indicador foi encontrado para as seguintes entidades no Sumo Logic Cloud SIEM: {entities}." Se nada for encontrado para todas as entidades (is_success=true): "Nenhum indicador foi encontrado para as entidades fornecidas no Sumo Logic Cloud SIEM". Se o código de status 500 for informado para uma entidade (is_success=true): "A ação não conseguiu recuperar indicadores para as seguintes entidades no Sumo Logic Cloud SIEM: {entities}." Se o código de status 500 for informado para todas as entidades (is_success=false): "Não foi possível recuperar indicadores para as entidades fornecidas no Sumo Logic Cloud SIEM". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Pesquisar indicadores de entidade". Motivo: {0}''.format(error.Stacktrace) |
Geral |
Atualizar insight
Descrição
Atualize o status do insight no Sumo Logic Cloud SIEM.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do insight | String | N/A | Sim | Especifique o ID do insight que precisa ser atualizado. |
| Status | DDL | Selecione uma opção. Valores possíveis:
|
Sim | Especifique o status a ser definido para o insight. |
| Tipo de destinatário | DDL | Usuário Valores possíveis:
|
Sim | Especifique o tipo de destinatário do parâmetro "Destinatário". |
| Responsável | String | N/A | Não | Especifique o identificador do destinatário. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"data": {
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
},
"errors": []
}
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 200 for informado (is_success=true): "Insight com ID "{id}" atualizado com sucesso no Sumo Logic Cloud SIEM". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema, for informado: "Erro ao executar a ação "Atualizar insight". Motivo: {0}''.format(error.Stacktrace) Se houver erros: "Erro ao executar a ação "Atualizar insight". Motivo: {message}.' Se "Selecionar um" estiver selecionado para o parâmetro "Status" e nenhum destinatário for fornecido: "Erro ao executar a ação "Atualizar insight". Motivo: é necessário informar o status ou o destinatário." |
Geral |
Adicionar comentário ao insight
Descrição
Adicionar um comentário a um insight no Sumo Logic Cloud SIEM.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do insight | String | N/A | Sim | Especifique o ID do insight em que a ação precisa adicionar um comentário. |
| Comentário | String | N/A | Sim | Especifique o comentário que precisa ser adicionado ao insight. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 200 for informado (is_success=true): "Um comentário foi adicionado a um insight com o ID "{id}" no Sumo Logic Cloud SIEM." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema for informado: "Erro ao executar a ação "Adicionar comentário ao insight". Motivo: {0}''.format(error.Stacktrace) Se forem informados erros: "Erro ao executar a ação "Adicionar comentário ao insight". Motivo: {message}. |
Geral |
Adicionar tags ao insight
Descrição
Adicionar tags a um insight no Sumo Logic Cloud SIEM.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do insight | String | N/A | Sim | Especifique o ID do insight a que a ação precisa adicionar tags. |
| Tags | CSV | N/A | Sim | Especifique uma lista separada por vírgulas de tags que precisam ser adicionadas ao insight. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
Enriquecimento de entidades
N/A
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se o código de status 200 for informado (is_success=true): "Tags adicionadas a um insight com o ID "{id}" no Sumo Logic Cloud SIEM." A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro problema for informado: "Erro ao executar a ação "Adicionar tags ao insight". Motivo: {0}''.format(error.Stacktrace) Se forem informados erros: "Erro ao executar a ação "Adicionar tags ao insight". Motivo: {message}. |
Geral |
Enriquecer entidades
Descrição
Enriqueça entidades usando informações do Cloud SIEM do Sumo Logic. Entidades compatíveis: nome do host, usuário, endereço IP.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Criar insight | Caixa de seleção | Selecionado | Não | Se ativada, a ação cria um insight com todas as informações recuperadas sobre a entidade. |
Executar em
Essa ação é executada nas seguintes entidades:
- Nome do host
- Usuário
- Endereço IP
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success=False |
Resultado do JSON
{
"activityScore": 8,
"criticality": null,
"entityType": "_ip",
"firstSeen": null,
"hostname": null,
"id": "_ip-172.30.202.30",
"inventory": [],
"isSuppressed": false,
"isWhitelisted": false,
"lastSeen": "2022-03-11T09:44:53",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": null,
"tags": [],
"value": "172.30.202.30"
}
Aprimoramento de entidade: prefixo SumoLogicCloudSIEM_
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| isSuppressed | isSuppressed | Quando disponível em JSON |
| isWhitelisted | isWhitelisted | Quando disponível em JSON |
| tags | CSV de tags | Quando disponível em JSON |
| firstSeen | firstSeen | Quando disponível em JSON |
| lastSeen | lastSeen | Quando disponível em JSON |
| criticidade | criticidade | Quando disponível em JSON |
| activityScore | activityScore | Quando disponível em JSON |
Insights
N/A
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se os dados estiverem disponíveis para uma entidade (is_success=true): "Aprimoramos as seguintes entidades usando informações do Harmony Mobile: {entity.identifier}". Se os dados não estiverem disponíveis para uma entidade (is_success=true): "Não foi possível enriquecer as seguintes entidades usando informações do Sumo Logic Cloud SIEM: {entity.identifier}" Se os dados não estiverem disponíveis para todas as entidades (is_success=false): "Nenhuma das entidades fornecidas foi enriquecida". A ação precisa falhar e interromper a execução de um playbook: Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Enriquecer entidades". Motivo: {0}''.format(error.Stacktrace) |
Geral |
| Tabela do painel de casos | Título da tabela: {entity.identifier} Colunas da tabela:
|
Entidade |
Conectores
Sumo Logic Cloud SIEM: conector de insights
Descrição
Extrai informações sobre insights do Sumo Logic Cloud SIEM.
Configurar o conector de insights do Sumo Logic Cloud SIEM no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | N/A | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | generalized_data_name | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://{instance} | Sim | Raiz da API da instância do Cloud SIEM do Sumo Logic. |
| Chave de API | String | N/A | Não | Chave de API da conta do Cloud SIEM do Sumo Logic. Observação:a chave de API tem prioridade sobre outros métodos de autenticação. |
| ID de acesso | String | N/A | Não | ID de acesso da conta do Cloud SIEM do Sumo Logic. Observação:o ID de acesso e a chave de acesso são obrigatórios para esse tipo de autenticação. |
| Chave de acesso | Secret | N/A | Não | Chave de acesso da conta do Cloud SIEM do Sumo Logic. Observação:o ID de acesso e a chave de acesso são obrigatórios para esse tipo de autenticação. |
| Menor gravidade a ser buscada | String | N/A | Não | A prioridade mais baixa que precisa ser usada para buscar casos. Valores possíveis: "Baixa", "Média", "Alta" e "Crítica". Se nada for especificado, o conector vai ingerir insights de todas as gravidades. |
| Máximo de horas para trás | Número inteiro | 1 | Não | Número de horas de onde buscar insights. |
| Número máximo de insights a serem buscados | Número inteiro | 20 | Não | Número de insights a serem processados por iteração de conector. |
| Usar lista dinâmica como lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, a lista dinâmica será usada como uma lista de proibições. |
| Verificar SSL | Caixa de seleção | Desmarcado | Sim | Se ativada, verifique se o certificado SSL da conexão com o servidor do Cloud SIEM do Sumo Logic é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras do conector
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.