Sumo Logic
Versione integrazione: 16.0
Configurare l'integrazione di Sumo Logic in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Azioni
Dindin
Descrizione
Testa la connettività a Sumo Logic.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
N/A
Cerca
Descrizione
Esegui una query e ottieni i risultati di ricerca da Sumo Logic.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Query | Stringa | N/D | Query Sumo Logic da eseguire. Esempio: _collector=* |
| Elimina job di ricerca | Casella di controllo | Non selezionata | Se selezionata, elimina i job al termine di una ricerca. |
| Dal giorno | Stringa | N/D | Data di inizio della ricerca, ISO-8601 o unixtime. Esempio: 1970-01-01T00:00:00. Valore predefinito: 1 (unixtime). |
| A | Stringa | N/D | Data di fine della ricerca, in formato ISO-8601 o unixtime. Esempio: 1970-01-01T00:00:00. Valore predefinito: ora (unixtime UTC corrente). |
| Limite | Stringa | N/D | Numero di risultati da restituire. Esempio: 10. Valore predefinito: 25. |
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| risultati | N/D | N/D |
Risultato JSON
[
{
"_messageid": "-9223372036854773772",
"_messagetime": "1359407049529",
"_blockid": "-9223372036854775674",
"_sourcecategory": "service",
"_format": "plain:atp:o:0:l:29:p:yyyy-MM-dd HH:mm:ss,SSS ZZZZ",
"_sourcename": "/Users/christian/Development/sumo/ops/assemblies/latest/service-20.1-SNAPSHOT/logs/service.log",
"_source": "service",
"_receipttime": "1359407051885",
"_collectorid": "1579",
"_sourceid": "1640",
"_raw": "2013-01-28 13:04:09,529 -0800 INFO
[module=SERVICE]
[logger=com.netflix.config.sources.DynamoDbConfigurationSource] [thread=pollingConfigurationSource] Successfully polled Dynamo for a new configuration based on table:raychaser-chiapetProperties",
"_size": "246",
"_collector": "local",
"_messagecount": "2035",
"_sourcehost": "Chiapet.local"
}
]
Connettori
Connettore Sumo Logic
Descrizione
Connettore Sumo Logic.
Configurare il connettore Sumo Logic in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| DeviceProductField | Stringa | device_product | Il nome del campo utilizzato per determinare il prodotto del dispositivo. Esempio: _type |
| EventClassId | Stringa | nome | Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo). Esempio: _source_match_event_id |
| PythonProcessTimeout | Stringa | 60 | Il limite di timeout (in secondi) per il processo Python che esegue lo script corrente. |
| Root API | Stringa | null | La radice dell'API Sumo Logic, ad esempio: https://api.{region}.sumologic.com |
| ID di accesso | Stringa | null | ID accesso Sumo Logic. |
| Chiave di accesso | Password | null | Chiave di accesso Sumo Logic. |
| Verifica SSL | Casella di controllo | FALSE | Indica se utilizzare o meno SSL per la connessione. |
| Campo Nome avviso | Stringa | null | Il nome del campo in cui si trova il nome dell'avviso (percorso del campo piatto). Esempio: _sourcecategory |
| Campo timestamp | Stringa | null | Il nome del campo in cui si trova il timestamp (percorso del campo piatto). Esempio: _receipttime |
| Campo Ambiente | Stringa | null | Il nome del campo in cui si trova l'ambiente (percorso del campo piatto). Esempio: _collector |
| Indici | Stringa | null | Indici in cui ricevere avvisi". |
| Limite conteggio avvisi | Numero intero | 10 | Numero massimo di avvisi da recuperare in un ciclo. Esempio: 20 |
| Max Days Backwards | Numero intero | 1 | Numero massimo di giorni da cui recuperare gli avvisi. Esempio: 3 |
| Indirizzo del server proxy | Stringa | null | L'indirizzo del server proxy da utilizzare. |
| Nome utente proxy | Stringa | null | Il nome utente del proxy con cui eseguire l'autenticazione. |
| Password proxy | Password | null | La password del proxy per l'autenticazione. |
Regole del connettore
Supporto del proxy
Il connettore supporta il proxy.
Supporto delle regole dinamiche/della lista consentita
Verrà eseguito un singolo job di ricerca per ogni query aggiunta come regola. Se sono stati forniti entrambi: indici e query, le query hanno la priorità sul parametro "indici" del connettore.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.