Esta página se ha traducido con Cloud Translation API.

Integrar LevelBlue USM Anywhere con Google SecOps

En este documento se describe cómo integrar LevelBlue Unified Security Management (USM) Anywhere con Google Security Operations (Google SecOps).

Versión de integración: 31.0

Acceso de red a LevelBlue USM Anywhere

Acceso a la API de Google SecOps a LevelBlue USM Anywhere: permite el tráfico a través del puerto 443 (HTTPS).

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Nombre de la instancia	Cadena	N/A	No	Nombre de la instancia para la que quiere configurar la integración.
Descripción	Cadena	N/A	No	Descripción de la instancia.
Raíz de la API	Cadena	N/A	Sí	Dirección de la instancia de LevelBlue USM Anywhere.
ClientID	Cadena	N/A	Sí	ID del usuario.
Secret	Contraseña	N/A	Sí	La contraseña de la cuenta de usuario.
Versión del producto	Cadena	V2	Sí	Versión del producto LevelBlue USM Anywhere.
Use SSL (Usar SSL)	Casilla	Marcada	No	Si se selecciona, la integración valida el certificado SSL al conectarse al servidor de LevelBlue USM Anywhere.
Ejecutar de forma remota	Casilla	Desmarcada	No	Seleccione la casilla para ejecutar la integración configurada de forma remota. Una vez seleccionada, aparece la opción para seleccionar al usuario remoto (agente).

Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.

Get Alarm Details

Obtiene los detalles de una alarma por ID.

Parámetros

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
ID de alarma	Cadena	N/A	Sí	El ID de la alarma. Se puede obtener ejecutando el conector.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado del script	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Panel de casos

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	En caso de error: "Failed to get details about AlienVault Anywhere alarm! Error es {}. La acción debería fallar." Petición de acción completada correctamente: "Successfully returned AlienVault Anywhere alarm {} details" ("Se han devuelto correctamente los detalles de la alarma {} de AlienVault Anywhere") Cuando el parámetro de versión del producto se define como V1: "La acción debería fallar con un mensaje claro que se admita en V2".	General
Tabla CSV	Columnas: ID Prioridad Hora en la que se ha producido Hora de recepción Fuente Organización de origen País de origen Destino ID de ataque de regla Estrategia de reglas ID de regla Rule Attack Tactic Técnica de ataque de regla Intención de regla	General

Tipo de resultado

Descripción

Tipo

Mensaje de salida*

En caso de error: "Failed to get details about AlienVault Anywhere alarm! Error es {}. La acción debería fallar."

Petición de acción completada correctamente: "Successfully returned AlienVault Anywhere alarm {} details" ("Se han devuelto correctamente los detalles de la alarma {} de AlienVault Anywhere")

Cuando el parámetro de versión del producto se define como V1: "La acción debería fallar con un mensaje claro que se admita en V2".

General

Tabla CSV

Columnas:

ID
Prioridad
Hora en la que se ha producido
Hora de recepción
Fuente
Organización de origen
País de origen
Destino
ID de ataque de regla
Estrategia de reglas
ID de regla
Rule Attack Tactic
Técnica de ataque de regla
Intención de regla

General

List Events

Busca eventos de AlienVault.

Parámetros

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Límite de alarmas	Cadena	N/A	No	Número máximo de alarmas que se devolverán.
Nombre de cuenta	Cadena	N/A	No	El nombre de la cuenta.
Nombre del evento	Cadena	N/A	No	Nombre del evento.
Hora de inicio	Cadena	N/A	No	Los resultados filtrados incluirán los eventos que se hayan producido después de esta marca de tiempo. Formato: "%d/%m/%Y"
Hora de finalización	Cadena	N/A	No	Los resultados filtrados incluirán los eventos que se hayan producido antes de esta marca de tiempo. Formato: "%d/%m/%Y"
Suprimida	Casilla	N/A	No	Si se deben filtrar los eventos por la marca de suprimido.
Nombre del origen	Cadena	N/A	No	Nombre de la fuente.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado del script	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

{
    "rep_device_fqdn": "192.0.2.30",
    "sorce_name": "192.0.2.30",
    "tag": "pdate-esp-kernelmodle.sh",
    "timestamp_occred": "1596541223000",
    "destination_address": "198.51.100.130",
    "rep_dev_canonical": "192.0.2.30",
    "destination_name": "198.51.100.130",
    "received_from": "Centos7-001",
    "timestamp_occred_iso8601": "2020-08-04T11:40:23.000Z",
    "id": "f52dd545-ff14-5576-3b70-47f10f528f53",
    "needs_enrichment": True,
    "rep_device_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received": "1596541223152",
    "sorce_canonical": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "destination_fqdn": "198.51.100.130",
    "_links": {
        "self": {
            "href": "URL"
        }
    },
    "has_alarm": False,
    "rep_device_address": "192.0.2.30",
    "event_name": "pdate-esp-kernelmodle.sh event",
    "sed_hint": False,
    "transient": False,
    "packet_type": "log",
    "was_fzzied": True,
    "sppressed": False,
    "log": "<13>Ag  4 14:40:23 Centos7-001 pdate-esp-kernelmodle.sh: McAfeeESPFileAccess installed in this system is - 198.51.100.130",
    "sorce_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received_iso8601": "2020-08-04T11:40:23.152Z",
    "destination_canonical": "198.51.100.130",
    "time_offset": "Z"
}

Panel de casos

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	En caso de error general: "Action didn't complete due to error: {error}" (La acción no se ha completado debido a un error), el valor del resultado debe ser false y la acción debe fallar. Si la acción se completa correctamente: "Successfully returned {len(events)} AlienVault Anywhere events" ("Se han devuelto correctamente {len(events)} eventos de AlienVault Anywhere") Si no se ha podido ejecutar la acción: "Failed to list Endgame AlienVault Anywhere events!" ("No se han podido enumerar los eventos de Endgame AlienVault Anywhere"). Cuando el parámetro de versión del producto se define como V1: "La acción debería fallar con un mensaje claro que se admite en V2".	General
Tabla CSV	Título de la tabla: Eventos Columnas de tabla: ID Nombre Hora en la que se ha producido Hora de recepción Suprimida Gravedad Categoría Subcategoría Resultado del control de acceso Destino Puerto de destino Fuente Puerto de origen Valores: id= uuid name = event_name Occurred Time=timestamp_occurred_iso8601 Received Time=timestamp_received_iso8601 Suprimido =suppressed Gravedad = event_severity Categoría = event_category Subcategoría = event_subcategory Access Control Outcome = access_control_outcome Destination = destination_name Puerto de destino = destination_port Source = source_name Puerto de origen= puerto_de_origen	General

Tipo de resultado

Descripción

Tipo

Mensaje de salida*

En caso de error general: "Action didn't complete due to error: {error}" (La acción no se ha completado debido a un error), el valor del resultado debe ser false y la acción debe fallar.

Si la acción se completa correctamente: "Successfully returned {len(events)} AlienVault Anywhere events" ("Se han devuelto correctamente {len(events)} eventos de AlienVault Anywhere")

Si no se ha podido ejecutar la acción: "Failed to list Endgame AlienVault Anywhere events!" ("No se han podido enumerar los eventos de Endgame AlienVault Anywhere").

Cuando el parámetro de versión del producto se define como V1: "La acción debería fallar con un mensaje claro que se admite en V2".

General

Tabla CSV

Título de la tabla: Eventos

Columnas de tabla:

ID
Nombre
Hora en la que se ha producido
Hora de recepción
Suprimida
Gravedad
Categoría
Subcategoría
Resultado del control de acceso
Destino
Puerto de destino
Fuente
Puerto de origen

Valores:

id= uuid
name = event_name
Occurred Time=timestamp_occurred_iso8601
Received Time=timestamp_received_iso8601
Suprimido =suppressed
Gravedad = event_severity
Categoría = event_category
Subcategoría = event_subcategory
Access Control Outcome = access_control_outcome
Destination = destination_name
Puerto de destino = destination_port
Source = source_name
Puerto de origen= puerto_de_origen

General

Ping

Prueba la conectividad.

Parámetros

N/A

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de la secuencia de comandos

Nombre del resultado del script	Opciones de valor	Ejemplo
correcto	Verdadero o falso	success:False

Conectores

Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).

Conector de AlienVault USM Anywhere

Google SecOps obtiene alarmas de LevelBlue USM Anywhere casi en tiempo real y las reenvía como alertas de casos.

Parámetros del conector

Utiliza los siguientes parámetros para configurar el conector:

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio	Descripción
Entorno	DDL	N/A	Sí	Seleccione el entorno que quiera. Por ejemplo, "Cliente uno". Si el campo Entorno de la alerta está vacío, se inyectará en este entorno.
Ejecutar cada	Entero	0:0:0:10	No	Selecciona la hora a la que quieres que se ejecute la conexión.
Nombre del campo de producto	Cadena	device_product	Sí	Nombre del campo que se usa para determinar el producto del dispositivo.
Nombre del campo de evento	Cadena	event_name	Sí	Nombre del campo que determina el nombre del evento (subtipo).
Máximo de días hacia atrás	Entero	1	Sí	Número de días anteriores a la primera iteración del conector para obtener alertas. Este parámetro se puede aplicar a la iteración inicial del conector después de habilitarlo por primera vez o al valor de reserva de una marca de tiempo de conector caducada.
Número máximo de alertas por ciclo	Entero	10	Sí	Número máximo de alertas que se deben obtener en cada ciclo del conector. Limita el número de alertas en cada ciclo.
Verificar SSL	Casilla	Desmarcada	No	Si se selecciona, la integración valida el certificado SSL al conectarse al servidor de LevelBlue USM Anywhere.
Versión del producto	Cadena	V2	Sí	Versión de AlienVault Anywhere: V1 y V2.
Secret	Contraseña	N/A	Sí	La contraseña del usuario correspondiente.
ClientID	Cadena	N/A	Sí	ID del usuario.
Raíz de la API	Cadena	N/A	Sí	Ejemplo: https://<instance>.alienvault.com
Tiempo de espera de secuencia de comandos (segundos)	Cadena	60	Sí	El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual.
Nombre de usuario del proxy	Cadena	N/A	No	Nombre de usuario del proxy para autenticarse.
Contraseña del proxy	Contraseña	N/A	No	La contraseña del proxy para autenticarte.
Dirección del servidor proxy	Cadena	N/A	No	Dirección del servidor proxy que se va a usar.
Método de regla	Cadena	N/A	No	Filtra las alarmas por método de regla. El método proporcionaría más detalles sobre el objetivo del ataque y la vulnerabilidad concreta. Ejemplo: Firefox - CVE-2008-4064
Estrategia de reglas	Cadena	N/A	No	La estrategia de la regla que ha activado la alarma. Por ejemplo, usa Ataque del lado del cliente - Vulnerabilidad conocida cuando intentes aprovechar una vulnerabilidad conocida en un navegador web del atacante.
Intención de regla	Cadena	N/A	No	Filtrar las alarmas por su finalidad. La intención describe el contexto del comportamiento que se está observando. Estas son las categorías de amenazas: Compromiso del sistema, Explotación e instalación, Entrega y ataque, Reconocimiento y sondeo, y Conciencia del entorno.
Prioridad	Cadena	N/A	No	Filtra por prioridad de alarma, separada por comas. Valor válido: high/medium/low
Usar filtro suprimido	Casilla	Desmarcada	No	Este parámetro se usará para determinar si se deben filtrar las alertas entrantes con el filtro "Mostrar suprimidas".
Mostrar suprimidas	Casilla	Marcada	No	Indica si se deben incluir las alarmas suprimidas en la búsqueda.
Periodo de relleno	Entero	0	No	Periodo de relleno en horas para la ejecución del conector.

El conector AlienVault USM Anywhere tiene dos parámetros que permiten filtrar de forma inteligente las alertas que se ingieren en Google SecOps en relación con el atributo suppressed que tienen esas alertas:

Usar filtro suprimido: este parámetro determina si se filtran las alertas entrantes mediante el filtro Show Suppressed o no.
Mostrar suprimidas: este parámetro determina si se deben incluir las alarmas suprimidas en la búsqueda. Este conector ofrece tres opciones:
1. Incluye todas las alertas de AV, tanto las suprimidas como las no suprimidas. Para ello, desmarca ambas casillas.
2. Importar solo las alarmas no suprimidas del antivirus: selecciona la casilla Use Suppressed Filter y desmarca la casilla Show Suppressed.
3. Traer solo las alarmas suprimidas de AV, pero nada más: selecciona las casillas Use Suppressed Filter y Show Suppressed. Es una opción predeterminada.

Para obtener más información sobre la supresión de alarmas en AlienVault, consulta el artículo Crear reglas de supresión desde la página Alarmas.

Reglas de conectores

El conector admite proxy.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.