Sumo Logic
Integrationsversion: 16.0
Sumo Logic-Integration in Google Security Operations konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Aktionen
Ping
Beschreibung
Verbindung zu Sumo Logic testen
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
N/A
Suchen
Beschreibung
Führen Sie eine Abfrage aus und rufen Sie die Suchergebnisse von Sumo Logic ab.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Abfrage | String | – | Die auszuführende Sumo Logic-Abfrage. Beispiel: _collector=* |
| Suchjob löschen | Kästchen | Deaktiviert | Wenn diese Option aktiviert ist, werden die Jobs nach Abschluss einer Suche gelöscht. |
| Seit | String | – | Das Startdatum der Suche im ISO 8601- oder Unixtime-Format. Beispiel: 1970-01-01T00:00:00. Standard: 1 (Unix-Zeit). |
| An | String | – | Das Enddatum der Suche im ISO 8601- oder Unixtime-Format. Beispiel: 1970-01-01T00:00:00. Standard: now (aktuelle UTC-Unixzeit). |
| Limit | String | – | Anzahl der zurückzugebenden Ergebnisse. Beispiel: 10. Standard: 25. |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Ergebnisse | – | – |
JSON-Ergebnis
[
{
"_messageid": "-9223372036854773772",
"_messagetime": "1359407049529",
"_blockid": "-9223372036854775674",
"_sourcecategory": "service",
"_format": "plain:atp:o:0:l:29:p:yyyy-MM-dd HH:mm:ss,SSS ZZZZ",
"_sourcename": "/Users/christian/Development/sumo/ops/assemblies/latest/service-20.1-SNAPSHOT/logs/service.log",
"_source": "service",
"_receipttime": "1359407051885",
"_collectorid": "1579",
"_sourceid": "1640",
"_raw": "2013-01-28 13:04:09,529 -0800 INFO
[module=SERVICE]
[logger=com.netflix.config.sources.DynamoDbConfigurationSource] [thread=pollingConfigurationSource] Successfully polled Dynamo for a new configuration based on table:raychaser-chiapetProperties",
"_size": "246",
"_collector": "local",
"_messagecount": "2035",
"_sourcehost": "Chiapet.local"
}
]
Connectors
Sumo Logic-Connector
Beschreibung
Sumo Logic-Connector
Sumo Logic Connector in Google SecOps konfigurieren
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| DeviceProductField | String | device_product | Der Feldname, der zur Bestimmung des Geräteprodukts verwendet wird. Beispiel: _type |
| EventClassId | String | Name | Der Feldname, der zum Bestimmen des Ereignisnamens (Untertyp) verwendet wird. Beispiel: _source_match_event_id |
| PythonProcessTimeout | String | 60 | Das Zeitlimit (in Sekunden) für den Python-Prozess, in dem das aktuelle Skript ausgeführt wird. |
| API-Stamm | String | null | Der Sumo Logic-API-Stamm, z. B. https://api.{region}.sumologic.com |
| Zugriffs-ID | String | null | Sumo Logic-Zugriffs-ID. |
| Zugriffsschlüssel | Passwort | null | Sumo Logic-Zugriffsschlüssel. |
| SSL überprüfen | Kästchen | FALSE | Gibt an, ob SSL für die Verbindung verwendet werden soll. |
| Feld „Name der Benachrichtigung“ | String | null | Der Name des Felds, in dem sich der Name der Benachrichtigung befindet (flacher Feldpfad). Beispiel: _sourcecategory |
| Zeitstempelfeld | String | null | Der Name des Felds, in dem sich der Zeitstempel befindet (flacher Feldpfad). Beispiel: _receipttime |
| Umgebungsfeld | String | null | Der Name des Felds, in dem sich die Umgebung befindet (flacher Feldpfad). Beispiel: _collector |
| Indexe | String | null | Indizes, für die Sie Benachrichtigungen erhalten möchten“. |
| Limit für die Anzahl der Benachrichtigungen | Ganzzahl | 10 | Maximale Anzahl der Benachrichtigungen, die in einem Zyklus abgerufen werden sollen. Beispiel: 20 |
| Max. Tage rückwärts | Ganzzahl | 1 | Maximale Anzahl von Tagen, seit denen Benachrichtigungen abgerufen werden sollen. Beispiel: 3 |
| Proxyserveradresse | String | null | Die Adresse des zu verwendenden Proxyservers. |
| Proxy-Nutzername | String | null | Der Proxy-Nutzername für die Authentifizierung. |
| Proxy-Passwort | Passwort | null | Das Proxy-Passwort für die Authentifizierung. |
Connector-Regeln
Proxyunterstützung.
Der Connector unterstützt Proxys.
Unterstützung dynamischer Regeln/Regeln für die Zulassungsliste
Dadurch wird für jede als Regel hinzugefügte Abfrage ein einzelner Suchjob ausgeführt. Wenn beides angegeben wurde, haben Abfragen Vorrang vor dem Parameter „indexes“ des Connectors.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten