Se usó la API de Cloud Translation para traducir esta página.

Integra LevelBlue USM Anywhere con Google SecOps

En este documento, se describe cómo integrar LevelBlue Unified Security Management (USM) Anywhere con Google Security Operations (Google SecOps).

Versión de la integración: 31.0

Acceso de red a LevelBlue USM Anywhere

Acceso a la API de Google SecOps a USM Anywhere de LevelBlue: Permite el tráfico a través del puerto 443 (HTTPS).

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio.	Descripción
Nombre de la instancia	String	N/A	No	Nombre de la instancia para la que deseas configurar la integración.
Descripción	String	N/A	No	Es la descripción de la instancia.
Raíz de la API	String	N/A	Sí	Dirección de la instancia de LevelBlue USM Anywhere.
ClientID	String	N/A	Sí	El ID del usuario
Secreto	Contraseña	N/A	Sí	Contraseña de la cuenta de usuario.
Versión del producto	String	V2	Sí	Versión del producto LevelBlue USM Anywhere.
Usa SSL	Casilla de verificación	Marcado	No	Si se selecciona, la integración valida el certificado SSL cuando se conecta al servidor de LevelBlue USM Anywhere.
Ejecutar de forma remota	Casilla de verificación	Desmarcado	No	Selecciona la casilla de verificación para ejecutar la integración configurada de forma remota. Una vez que se selecciona, aparece la opción para seleccionar al usuario remoto (agente).

Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.

Obtén detalles de la alarma

Recupera los detalles de una alarma por ID.

Parámetros

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio.	Descripción
ID de alarma	String	N/A	Sí	Es el ID de la alarma. Se puede obtener ejecutando el conector.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Muro de casos

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	En caso de error: "No se pudieron obtener detalles sobre la alarma de AlienVault Anywhere. El error es {}. La acción debería fallar". La acción pasó correctamente: "Se devolvieron correctamente los detalles de la alarma {} de AlienVault Anywhere" Cuando el parámetro Product version se establece en V1: "La acción debería fallar con un mensaje claro que se admita en la versión 2".	General
Tabla CSV	Columnas: ID Prioridad Hora en que ocurrió Hora de recepción Fuente Organización de origen País de origen Destino ID de ataque de regla Estrategia de reglas ID de la regla Táctica de ataque de reglas Técnica de ataque a reglas Intención de la regla	General

Tipo de resultado

Descripción

Tipo

Mensaje de salida*

En caso de error: "No se pudieron obtener detalles sobre la alarma de AlienVault Anywhere. El error es {}. La acción debería fallar".

La acción pasó correctamente: "Se devolvieron correctamente los detalles de la alarma {} de AlienVault Anywhere"

Cuando el parámetro Product version se establece en V1: "La acción debería fallar con un mensaje claro que se admita en la versión 2".

General

Tabla CSV

Columnas:

ID
Prioridad
Hora en que ocurrió
Hora de recepción
Fuente
Organización de origen
País de origen
Destino
ID de ataque de regla
Estrategia de reglas
ID de la regla
Táctica de ataque de reglas
Técnica de ataque a reglas
Intención de la regla

General

Enumera eventos

Busca eventos de AlienVault.

Parámetros

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio.	Descripción
Límite de alarmas	String	N/A	No	Es la cantidad máxima de alarmas que se devolverán.
Nombre de la cuenta	String	N/A	No	Es el nombre de la cuenta.
Nombre del evento	String	N/A	No	Nombre del evento.
Hora de inicio	String	N/A	No	Los resultados filtrados incluirán los eventos que ocurrieron después de esta marca de tiempo. Formato: "%d/%m/%Y"
Hora de finalización	String	N/A	No	Los resultados filtrados incluirán los eventos que ocurrieron antes de esta marca de tiempo. Formato: "%d/%m/%Y"
Suprimida	Casilla de verificación	N/A	No	Indica si se deben filtrar los eventos por la marca de supresión.
Nombre de la fuente	String	N/A	No	Es el nombre de la fuente.

Fecha de ejecución

Esta acción no se ejecuta en entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
is_success	Verdadero o falso	is_success:False

Resultado de JSON

{
    "rep_device_fqdn": "192.0.2.30",
    "sorce_name": "192.0.2.30",
    "tag": "pdate-esp-kernelmodle.sh",
    "timestamp_occred": "1596541223000",
    "destination_address": "198.51.100.130",
    "rep_dev_canonical": "192.0.2.30",
    "destination_name": "198.51.100.130",
    "received_from": "Centos7-001",
    "timestamp_occred_iso8601": "2020-08-04T11:40:23.000Z",
    "id": "f52dd545-ff14-5576-3b70-47f10f528f53",
    "needs_enrichment": True,
    "rep_device_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received": "1596541223152",
    "sorce_canonical": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "destination_fqdn": "198.51.100.130",
    "_links": {
        "self": {
            "href": "URL"
        }
    },
    "has_alarm": False,
    "rep_device_address": "192.0.2.30",
    "event_name": "pdate-esp-kernelmodle.sh event",
    "sed_hint": False,
    "transient": False,
    "packet_type": "log",
    "was_fzzied": True,
    "sppressed": False,
    "log": "<13>Ag  4 14:40:23 Centos7-001 pdate-esp-kernelmodle.sh: McAfeeESPFileAccess installed in this system is - 198.51.100.130",
    "sorce_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received_iso8601": "2020-08-04T11:40:23.152Z",
    "destination_canonical": "198.51.100.130",
    "time_offset": "Z"
}

Muro de casos

Tipo de resultado	Descripción	Tipo
Mensaje de salida*	En caso de error general: "Action didn't complete due to error: {error}", el valor del resultado debe establecerse en falso y la acción debe fallar. Si la acción se completa correctamente: "Se devolvieron correctamente {len(events)} eventos de AlienVault Anywhere" Si no se pudo ejecutar la acción: "No se pudieron enumerar los eventos de Endgame AlienVault Anywhere". Cuando el parámetro Product version se establece en V1: "La acción debería fallar con un mensaje claro que se admita en la versión 2".	General
Tabla CSV	Título de la tabla: Eventos Columnas de la tabla: ID Nombre Hora en que ocurrió Hora de recepción Suprimida Gravedad Categoría Subcategoría Resultado del control de acceso Destino Puerto de destino Fuente Puerto de origen Valores: id= uuid name = event_name Occurred Time=timestamp_occurred_iso8601 Received Time=timestamp_received_iso8601 Suprimido =suprimido Gravedad = event_severity Categoría = event_category Subcategoría = event_subcategory Resultado del control de acceso = access_control_outcome Destination = destination_name Puerto de destino = destination_port Fuente = nombre_de_la_fuente Puerto de origen= source_port	General

Tipo de resultado

Descripción

Tipo

Mensaje de salida*

En caso de error general: "Action didn't complete due to error: {error}", el valor del resultado debe establecerse en falso y la acción debe fallar.

Si la acción se completa correctamente: "Se devolvieron correctamente {len(events)} eventos de AlienVault Anywhere"

Si no se pudo ejecutar la acción: "No se pudieron enumerar los eventos de Endgame AlienVault Anywhere".

Cuando el parámetro Product version se establece en V1: "La acción debería fallar con un mensaje claro que se admita en la versión 2".

General

Tabla CSV

Título de la tabla: Eventos

Columnas de la tabla:

ID
Nombre
Hora en que ocurrió
Hora de recepción
Suprimida
Gravedad
Categoría
Subcategoría
Resultado del control de acceso
Destino
Puerto de destino
Fuente
Puerto de origen

Valores:

id= uuid
name = event_name
Occurred Time=timestamp_occurred_iso8601
Received Time=timestamp_received_iso8601
Suprimido =suprimido
Gravedad = event_severity
Categoría = event_category
Subcategoría = event_subcategory
Resultado del control de acceso = access_control_outcome
Destination = destination_name
Puerto de destino = destination_port
Fuente = nombre_de_la_fuente
Puerto de origen= source_port

General

Ping

Prueba la conectividad.

Parámetros

N/A

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Resultado de secuencia de comandos

Nombre del resultado de la secuencia de comandos	Opciones de valor	Ejemplo
correcto	Verdadero o falso	success:False

Conectores

Para obtener más detalles sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).

Conector de AlienVault USM Anywhere

Google SecOps recupera las alarmas de LevelBlue USM Anywhere casi en tiempo real y las reenvía como alertas para los casos.

Parámetros del conector

Usa los siguientes parámetros para configurar el conector:

Nombre del parámetro	Tipo	Valor predeterminado	Es obligatorio.	Descripción
Entorno	DDL	N/A	Sí	Selecciona el entorno requerido. Por ejemplo, "Cliente uno". Si el campo Entorno de la alerta está vacío, se inyectará en este entorno.
Ejecutar cada	Número entero	0:0:0:10	No	Selecciona la hora en la que se ejecutará la conexión.
Nombre del campo del producto	String	device_product	Sí	Es el nombre del campo que se usa para determinar el producto del dispositivo.
Nombre del campo del evento	String	event_name	Sí	Es el nombre del campo que determina el nombre del evento (subtipo).
Máx. de días hacia atrás	Número entero	1	Sí	Es la cantidad de días anteriores a la primera iteración del conector para recuperar alertas. Este parámetro se puede aplicar a la iteración inicial del conector después de que lo habilites por primera vez o al valor de resguardo para una marca de tiempo del conector vencida.
Cantidad máxima de alertas por ciclo	Número entero	10	Sí	Es la cantidad máxima de alertas que se recuperarán en cada ciclo del conector. Limita la cantidad de alertas en cada ciclo.
Verificar SSL	Casilla de verificación	Desmarcado	No	Si se selecciona, la integración valida el certificado SSL cuando se conecta al servidor de LevelBlue USM Anywhere.
Versión del producto	String	V2	Sí	Versión de AlienVault Anywhere: V1 y V2.
Secreto	Contraseña	N/A	Sí	Contraseña del usuario correspondiente.
ClientID	String	N/A	Sí	ID del usuario.
Raíz de la API	String	N/A	Sí	Ejemplo: https://<instancia>.alienvault.com
Tiempo de espera de la secuencia de comandos (segundos)	String	60	Sí	Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual.
Nombre de usuario del proxy	String	N/A	No	Nombre de usuario del proxy con el que se realizará la autenticación.
Contraseña de proxy	Contraseña	N/A	No	Contraseña del proxy para la autenticación.
Dirección del servidor proxy	String	N/A	No	Es la dirección del servidor proxy que se usará.
Método de la regla	String	N/A	No	Filtra las alarmas por método de regla. El método proporcionaría detalles adicionales sobre el objetivo del ataque y la vulnerabilidad en particular. Ejemplo: Firefox - CVE-2008-4064
Estrategia de reglas	String	N/A	No	Es la estrategia de la regla que activó la alarma. Por ejemplo, usa Ataque del cliente: Vulnerabilidad conocida cuando intentes aprovechar una vulnerabilidad conocida en un navegador web del atacante.
Intención de la regla	String	N/A	No	Filtra las alarmas según su propósito. La intención describe el contexto del comportamiento que se observa. Estas son las categorías de amenazas: Compromiso del sistema, Explotación e instalación, Entrega y ataque, Reconocimiento y sondeo, Conciencia del entorno.
Prioridad	String	N/A	No	Filtra por prioridad de alarma, separada por comas. Valor válido: alto, medio o bajo
Usar el filtro suprimido	Casilla de verificación	Desmarcado	No	Este parámetro se usará para determinar si se filtran las alertas entrantes con el filtro Mostrar alertas suprimidas o no.
Mostrar suprimidos	Casilla de verificación	Marcado	No	Indica si se deben incluir las alarmas suprimidas en la búsqueda.
Período de relleno	Número entero	0	No	Es el período de relleno en horas para la ejecución del conector.

El conector de AlienVault USM Anywhere tiene dos parámetros que permiten filtrar de forma inteligente las alertas que se transfieren a Google SecOps en relación con el atributo suppressed que tienen esas alertas:

Use Suppressed Filter: Este parámetro determina si se filtran las alertas entrantes con el filtro Show Suppressed o no.
Show Suppressed: Este parámetro determina si se incluyen las alarmas suprimidas en la búsqueda o no. Este conector tiene tres opciones:
1. Incluye todas las alertas de AV, tanto las suprimidas como las no suprimidas. Desmarca ambas casillas.
2. Trae solo las alarmas no suprimidas del AV: Selecciona la casilla Use Suppressed Filter y desmarca la casilla Show Suppressed.
3. Solo trae las alarmas suprimidas de AV, pero nada más. Selecciona las casillas Use Suppressed Filter y Show Suppressed. Es una opción predeterminada.

Para obtener más información sobre la supresión de alarmas en AlienVault, consulta Cómo crear reglas de supresión desde la página Alarms.

Reglas del conector

El conector admite proxy.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.