Integrar el dispositivo USM de LevelBlue con Google SecOps
En este documento se describe cómo integrar el dispositivo de gestión de seguridad unificada (USM) de LevelBlue con Google Security Operations (Google SecOps).
Versión de integración: 21.0
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | Cadena | N/A | No | Nombre de la instancia para la que quiere configurar la integración. |
| Descripción | Cadena | N/A | No | Descripción de la instancia. |
| Raíz de la API | Cadena | https://<instance>.alienvault.com | Sí | Dirección de la instancia de LevelBlue USM Appliance. |
| Nombre de usuario | Cadena | N/A | Sí | La dirección de correo electrónico del usuario para conectarse al dispositivo USM de LevelBlue. |
| Contraseña | Contraseña | N/A | Sí | La contraseña de la cuenta de usuario. |
| Ejecutar de forma remota | Casilla | Desmarcada | No | Selecciona el campo para ejecutar la integración configurada de forma remota. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Enriquecer recursos
Recupera los detalles de los recursos de LevelBlue USM Appliance. En el dispositivo USM, un activo funciona en la red de la organización como un equipo integrado, que incluye una dirección IP exclusiva. Un recurso puede ser un ordenador, una impresora, un cortafuegos, un router, un servidor o varios dispositivos permitidos por la red. Un recurso está supervisado por al menos un sensor de dispositivo USM.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| modelo | Devuelve si existe en el resultado JSON. |
| descr | Devuelve si existe en el resultado JSON. |
| nombre de host | Devuelve si existe en el resultado JSON. |
| asset_type | Devuelve si existe en el resultado JSON. |
| fqdn | Devuelve si existe en el resultado JSON. |
| dispositivos | Devuelve si existe en el resultado JSON. |
| asset_value | Devuelve si existe en el resultado JSON. |
| ips | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| sensores | Devuelve si existe en el resultado JSON. |
| os | Devuelve si existe en el resultado JSON. |
| redes | Devuelve si existe en el resultado JSON. |
| icono | Devuelve si existe en el resultado JSON. |
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero o falso | success:False |
Resultado de JSON
[
{
"EntityResult": {
"model": null,
"descr": " ",
"hostname": "Hostname",
"asset_type": "Internal",
"fqdn": " ",
"devices": [],
"asset_value": "2",
"ips": {
"3.3.3.3": {
"ip": "192.0.2.1",
"mac": "01:23:45:AB:CD:EF"
}},
"id": "123D37D595B800734550B9D9D6A958C6",
"sensors": {
"C221234962EA11E697DE0AF71A09DF3B": {
"ip": "192.0.2.1",
"ctxs": {
"C228355962EA11E697DE0AF71A09DF3B": "AlienVault"
},
"name": "DA"
}},
"os": "Linux",
"networks": {
"7E4B12EEFD06A21F898345C2AB46EB10": {
"ips": "192.0.2.1/24",
"ctx": "C228355962EA11E697DE0AF71A09DF3B",
"name": "Pvt_000"
}},
"icon": " "
},
"Entity": "example.com"
}
]
Enriquecer vulnerabilidades
Recupera información sobre vulnerabilidades del dispositivo LevelBlue USM. El escáner de vulnerabilidades integrado en el sensor del dispositivo USM puede detectar vulnerabilidades en recursos críticos. Estas vulnerabilidades descubiertas se pueden usar en reglas de correlación cruzada, en la aplicación y en informes de auditoría.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| AlientVault_Severity | Devuelve si existe en el resultado JSON. |
| AlientVault_Service | Devuelve si existe en el resultado JSON. |
| AlientVault_Vulnerability | Devuelve si existe en el resultado JSON. |
| AlientVault_Scan Time | Devuelve si existe en el resultado JSON. |
| AlientVault_Asset | Devuelve si existe en el resultado JSON. |
| AlientVault_Id | Devuelve si existe en el resultado JSON. |
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero o falso | success:False |
Resultado de JSON
[
{
"EntityResult": [{
"Severity": "High",
"Service": "general (0/tcp))",
"Vulnerability": "TCP Sequence Number Approximation Reset Denial of Service Vulnerability",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123456"
}, {
"Severity": "High",
"Service": "https (443/tcp)",
"Vulnerability": "robot(s).txt exists on the Web Server",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123457"
}, {
"Severity": "Medium",
"Service": "general (0/tcp))",
"Vulnerability": "TCP timestamps",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123458"
}],
"Entity": "test"
}
]
Obtener los últimos archivos PCAP
Obtiene los últimos archivos PCAP de AlienVault.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Número de archivos que se van a obtener | Cadena | N/A | Ejemplo: 10 |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
[
{
"scan_name": "pcap_file_1545041396_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041397_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041398_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}
]
Obtener archivos PCAP de eventos
Obtener archivos PCAP de eventos de una alerta.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
{
"#0-1B09DN3B0D2011E985730AS799BFE5BC": "obLD1AACAAQAAAAAAAAAAAAABdwAAAABV+kUZQAHyFMAAAXqAAAF6gr3GgnfOwobLz7Y6wgARQAF3Dd3QABnBvvXVduqw6wfLg8MmgG7xmc2dMr3EdxQEAD+OgAAABcDAwdVAAAAAAAAAASEw70Ys0kQbz8wdaj1lsHAAA=="
}
Obtener informes de vulnerabilidades
Obtener archivos de informes de vulnerabilidades del entorno.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Número de archivos que se van a obtener | cadena | N/A | Ejemplo: 10 |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
[
{
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link":
"https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C228351E697DE071A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}
]
Ping
Prueba la conectividad.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de la secuencia de comandos
| Nombre del resultado del script | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero o falso | success:False |
Conectores
Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).
Conector de dispositivo AlienVault USM
Utiliza los siguientes parámetros para configurar el conector:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Entorno | DDL | N/A | Sí | Seleccione el entorno que quiera. Por ejemplo, "Cliente uno". Si el campo Entorno de la alerta está vacío, se inyectará en este entorno. |
| Ejecutar cada | Entero | 0:0:0:10 | No | Selecciona la hora a la que quieres que se ejecute la conexión. |
| Nombre del campo de producto | Cadena | device_product | Sí | Nombre del campo que se usa para determinar el producto del dispositivo. |
| Nombre del campo de evento | Cadena | event_name | Sí | Nombre del campo que determina el nombre del evento (subtipo). |
| Tiempo de espera de secuencia de comandos (segundos) | Cadena | 60 | Sí | El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | Cadena | N/A | Sí | Dirección de la instancia de LevelBlue USM Appliance, como https://<instance>.alienvault.com |
| Nombre de usuario | Cadena | N/A | Sí | Correo del usuario. |
| Contraseña | Contraseña | N/A | Sí | La contraseña del usuario correspondiente. |
| Número máximo de eventos por alerta | Entero | 10 | Sí | Limita el número de eventos por alerta. |
| Máximo de días hacia atrás | Entero | 1 | Sí | Número de días anteriores al actual para obtener alertas.
Este parámetro se puede aplicar a la iteración inicial del conector después de habilitarlo por primera vez o al valor de reserva de una marca de tiempo de conector caducada. |
| Número máximo de alertas por ciclo | Entero | 10 | Sí | Número máximo de alertas que se deben obtener en cada ciclo del conector. Limita el número de alertas en cada ciclo. |
| Zona horaria del servidor | Cadena | UTC | Sí | La zona horaria configurada en la instancia de AlienVault, como
UTC Asia/Jerusalem. |
| Nombre del campo de entorno | Cadena | N/A | No | Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
Reglas de conectores
El conector admite proxy.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.