Sumo Logic Cloud SIEM
整合版本:8.0
在 Google Security Operations 中設定 Sumo Logic Cloud SIEM 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 根層級 | 字串 | https://{instance} | 是 | Sumo Logic Cloud SIEM 執行個體的 API 根目錄。 |
| API 金鑰 | 字串 | 不適用 | 否 | Sumo Logic Cloud SIEM 帳戶的 API 金鑰。 注意:API 金鑰的優先順序高於其他驗證方法。 |
| 存取權 ID | 字串 | 不適用 | 否 | Sumo Logic Cloud SIEM 帳戶的存取 ID。 注意:這類驗證需要存取 ID 和存取金鑰。 |
| 存取金鑰 | 字串 | 不適用 | 否 | Sumo Logic Cloud SIEM 帳戶的存取金鑰。 注意:這類驗證需要存取 ID 和存取金鑰。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 如果啟用,請確認連線至 Sumo Logic Cloud SIEM 伺服器的 SSL 憑證有效。 |
應用實例
導入警示。
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Sumo Logic Cloud SIEM 的連線。
參數
不適用
執行時間
這項動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「Successfully connected to the Sumo Logic Cloud SIEM server with the provided connection parameters!」(已使用提供的連線參數,成功連線至 Sumo Logic Cloud SIEM 伺服器!) 動作應會失敗並停止執行應對手冊: 如果無法順利連線:「Failed to connect to the Sumo Logic Cloud SIEM server! Error is {0}".format(exception.stacktrace) |
一般 |
搜尋實體信號
說明
搜尋 Sumo Logic Cloud SIEM 中與實體相關的信號。支援的實體: IP 位址、主機名稱、使用者名稱。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 要傳回的最低嚴重程度 | 整數 | 5 | 否 | 指定用於傳回信號的最低嚴重程度編號。 上限:10 |
| 時間範圍 | DDL | 過去 1 小時 可能的值:
|
否 | 指定結果的時間範圍。 如果選取「自訂」,您還需要提供「開始時間」。 如果選取「Alert Time Till Now」,動作會使用快訊的開始時間做為搜尋的開始時間,並以目前時間做為結束時間。 如果選取「在快訊時間前後 30 分鐘」,系統會在快訊發生前 30 分鐘到快訊發生後 30 分鐘內搜尋快訊。「在警報時間前後 1 小時」和「在警報時間前後 5 分鐘」也是同樣的道理 |
| 開始時間 | 字串 | 不適用 | 否 | 指定結果的開始時間。 如果為「時間範圍」參數選取「自訂」,則必須提供這個參數。 格式:ISO 8601 |
| 結束時間 | 字串 | 不適用 | 否 | 指定結果的結束時間。 如果未提供任何值,且「時間範圍」參數選取「自訂」,則這個參數會使用目前時間。 格式:ISO 8601 |
| 要傳回的信號數量上限 | 整數 | 50 | 否 | 指定每個實體要傳回的信號數量。 |
執行時間
這項動作會對下列實體執行:
- IP 位址
- 主機名稱
- 使用者名稱
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
[
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "bL0ofHLH",
"event_message": "Failed password for invalid user",
"src_port": "39788"
},
"friendlyName": "record",
"hour": 10,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646994593976,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646994592,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646994592000,
"uid": "7a89ebd4-3346-59fe-839a-9fc9bf99f51a",
"user_username": "bL0ofHLH",
"user_username_raw": "bL0ofHLH",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "a9288779-354c-5a61-b492-f617d302c5ed",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"suppressed": true,
"tags": [
"_mitreAttackTactic:TA0001",
"_mitreAttackTactic:TA0006",
"_mitreAttackTechnique:T1110",
"_mitreAttackTechnique:T1078",
"_mitreAttackTechnique:T1078.001",
"_mitreAttackTechnique:T1078.002",
"_mitreAttackTechnique:T1078.003",
"_mitreAttackTechnique:T1078.004",
"_mitreAttackTechnique:T1586",
"_mitreAttackTechnique:T1586.001",
"_mitreAttackTechnique:T1586.002",
"_mitreAttackTactic:TA0008",
"_mitreAttackTechnique:T1110.003",
"_mitreAttackTechnique:T1110.002",
"_mitreAttackTechnique:T1110.001"
],
"timestamp": "2022-03-11T10:29:52"
}
]
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果找到至少一個信號 (is_success=true):「Successfully returned signals for the following entities in Sumo Logic Cloud SIEM: {entities}.」(已成功傳回 Sumo Logic Cloud SIEM 中下列實體的信號:{entities}。) 如果找不到任何實體 (is_success=true):「No signals were found for the following entities in Sumo Logic Cloud SIEM: {entities}」。 如果所有實體都找不到任何內容 (is_success=true):「No signals were found for the provided entities in Sumo Logic Cloud SIEM.」 如果某個實體回報 500 狀態碼 (is_success=true):「Action wasn't able to retrieve signals for the following entities in Sumo Logic Cloud SIEM: {entities}」。 如果所有實體都回報 500 狀態碼 (is_success=false):「Action wasn't able to retrieve signals for the provided entities in Sumo Logic Cloud SIEM.」(動作無法在 Sumo Logic Cloud SIEM 中擷取所提供實體的信號)。 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『搜尋實體信號』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
更新洞察
說明
在 Sumo Logic Cloud SIEM 中更新深入分析狀態。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 洞察 ID | 字串 | 不適用 | 是 | 指定需要更新的洞察 ID。 |
| 狀態 | DDL | 請選取一項 可能的值:
|
是 | 指定要為洞察設定的狀態。 |
| 指派對象類型 | DDL | 使用者 可能的值:
|
是 | 為「受讓人」參數指定受讓人類型。 |
| 指派對象 | 字串 | 不適用 | 否 | 指定指派對象 ID。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"data": {
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
},
"errors": []
}
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果系統回報 200 狀態碼 (is_success=true):「Successfully updated insight with ID "{id}" in Sumo Logic Cloud SIEM.」(已在 Sumo Logic Cloud SIEM 中成功更新 ID 為「{id}」的洞察資料)。 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證有誤、無法連線至伺服器或其他錯誤:「執行『更新洞察資料』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果系統回報錯誤:「執行動作『更新洞察資料』時發生錯誤。原因:{message}。' 如果為「狀態」參數選取「選取一項」,但未提供任何指派對象:「執行『更新洞察』動作時發生錯誤。原因:必須提供狀態或指派對象。」 |
一般 |
在洞察中新增留言
說明
在 Sumo Logic Cloud SIEM 中為洞察新增註解。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 洞察 ID | 字串 | 不適用 | 是 | 指定洞察 ID,動作需要為該洞察新增註解。 |
| 註解 | 字串 | 不適用 | 是 | 指定要新增至洞察資料的註解。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果系統回報 200 狀態碼 (is_success=true):「Successfully added a comment to an insight with ID "{id}" in Sumo Logic Cloud SIEM.」(已在 Sumo Logic Cloud SIEM 中,成功為 ID 為「{id}」的洞察新增註解)。 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證有誤、無法連線至伺服器或其他錯誤:「Error executing action "Add Comment To Insight". 原因:{0}''.format(error.Stacktrace) 如果系統回報錯誤:「執行動作『在洞察資料中新增註解』時發生錯誤。原因:{message}。 |
一般 |
為洞察新增標記
說明
在 Sumo Logic Cloud SIEM 中為洞察資訊新增標記。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 洞察 ID | 字串 | 不適用 | 是 | 指定洞察 ID,動作需要為該洞察新增標記。 |
| 標記 | CSV | 不適用 | 是 | 指定以半形逗號分隔的標記清單,這些標記需要新增至洞察資料。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"data": {
"author": {
"username": "tip.labops"
},
"body": "In Progress",
"id": "1",
"timestamp": "2022-03-16T12:03:56.472109"
},
"errors": []
}
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果系統回報 200 狀態碼 (is_success=true):「Successfully added tags to an insight with ID "{id}" in Sumo Logic Cloud SIEM.」(已在 Sumo Logic Cloud SIEM 中,成功為 ID 為「{id}」的洞察新增標記。) 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『將代碼新增至洞察』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) 如果系統回報錯誤:「執行動作『將代碼新增至洞察』時發生錯誤。原因:{message}。 |
一般 |
充實實體
說明
使用 Sumo Logic Cloud SIEM 的資訊充實實體。支援的實體:主機名稱、使用者、IP 位址。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 建立洞察資料 | 核取方塊 | 已勾選 | 否 | 如果啟用,這項動作會建立洞察資料,其中包含實體的所有擷取資訊。 |
執行時間
這項動作會對下列實體執行:
- 主機名稱
- 使用者
- IP 位址
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"activityScore": 8,
"criticality": null,
"entityType": "_ip",
"firstSeen": null,
"hostname": null,
"id": "_ip-172.30.202.30",
"inventory": [],
"isSuppressed": false,
"isWhitelisted": false,
"lastSeen": "2022-03-11T09:44:53",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": null,
"tags": [],
"value": "172.30.202.30"
}
實體擴充功能 - 前置字串 SumoLogicCloudSIEM_
| 補充資料欄位名稱 | 來源 (JSON 金鑰) | 邏輯 - 應用時機 |
|---|---|---|
| isSuppressed | isSuppressed | 以 JSON 格式提供時 |
| isWhitelisted | isWhitelisted | 以 JSON 格式提供時 |
| 標記 | 標籤的 CSV 檔案 | 以 JSON 格式提供時 |
| firstSeen | firstSeen | 以 JSON 格式提供時 |
| lastSeen | lastSeen | 以 JSON 格式提供時 |
| 重要性 | 重要性 | 以 JSON 格式提供時 |
| activityScore | activityScore | 以 JSON 格式提供時 |
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果某個實體有資料 (is_success=true):「Successfully enriched the following entities using information from Harmony Mobile: {entity.identifier}」(已使用 Harmony Mobile 的資訊成功擴充下列實體:{entity.identifier})。 如果某個實體沒有資料 (is_success=true):「Action wasn't able to enrich the following entities using information from Sumo Logic Cloud SIEM: {entity.identifier}」(動作無法使用 Sumo Logic Cloud SIEM 的資訊,擴充下列實體:{entity.identifier}) 如果所有實體都沒有資料 (is_success=false):「提供的實體皆未經過擴充。」 動作應會失敗並停止執行應對手冊: 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『Enrich Entities』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
| 案件總覽表格 | 資料表名稱:{entity.identifier} 資料表資料欄:
|
實體 |
連接器
Sumo Logic Cloud SIEM - Insights Connector
說明
從 Sumo Logic Cloud SIEM 提取洞察資訊。
在 Google SecOps 中設定 Sumo Logic Cloud SIEM - Insights Connector
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | 不適用 | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | generalized_data_name | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| 指令碼逾時 (秒) | 整數 | 180 | 是 | 執行目前指令碼的 Python 程序逾時限制。 |
| API 根層級 | 字串 | https://{instance} | 是 | Sumo Logic Cloud SIEM 執行個體的 API 根目錄。 |
| API 金鑰 | 字串 | 不適用 | 否 | Sumo Logic Cloud SIEM 帳戶的 API 金鑰。 注意:API 金鑰的優先順序高於其他驗證方法。 |
| 存取權 ID | 字串 | 不適用 | 否 | Sumo Logic Cloud SIEM 帳戶的存取 ID。 注意:這類驗證需要存取 ID 和存取金鑰。 |
| 存取金鑰 | 密鑰 | 不適用 | 否 | Sumo Logic Cloud SIEM 帳戶的存取金鑰。 注意:這類驗證需要存取 ID 和存取金鑰。 |
| 要擷取的最低嚴重程度 | 字串 | 不適用 | 否 | 用於擷取案件的最低優先順序。 可能的值:低、中、高、重大。 如未指定,連接器會擷取所有嚴重程度的洞察資料。 |
| 可倒轉的小時數上限 | 整數 | 1 | 否 | 要擷取洞察資料的小時數。 |
| 要擷取的洞察數量上限 | 整數 | 20 | 否 | 每個連接器疊代要處理的洞察數量。 |
| 將動態清單設為黑名單 | 核取方塊 | 已取消勾選 | 是 | 啟用後,動態清單會做為黑名單使用。 |
| 驗證 SSL | 核取方塊 | 已取消勾選 | 是 | 如果啟用,請確認連線至 Sumo Logic Cloud SIEM 伺服器的 SSL 憑證有效。 |
| Proxy 伺服器位址 | 字串 | 不適用 | 否 | 要使用的 Proxy 伺服器位址。 |
| Proxy 使用者名稱 | 字串 | 不適用 | 否 | 用於驗證的 Proxy 使用者名稱。 |
| Proxy 密碼 | 密碼 | 不適用 | 否 | 用於驗證的 Proxy 密碼。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。