Integra el dispositivo USM de LevelBlue con Google SecOps
En este documento, se describe cómo integrar el dispositivo de administración de seguridad unificada (USM) de LevelBlue con Google Security Operations (Google SecOps).
Versión de la integración: 21.0
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre de la instancia | String | N/A | No | Nombre de la instancia para la que deseas configurar la integración. |
| Descripción | String | N/A | No | Es la descripción de la instancia. |
| Raíz de la API | String | https://<instancia>.alienvault.com | Sí | Dirección de la instancia del dispositivo USM de LevelBlue. |
| Nombre de usuario | String | N/A | Sí | Es la dirección de correo electrónico del usuario para conectarse al dispositivo USM de LevelBlue. |
| Contraseña | Contraseña | N/A | Sí | Contraseña de la cuenta de usuario. |
| Ejecutar de forma remota | Casilla de verificación | Desmarcado | No | Selecciona el campo para ejecutar la integración configurada de forma remota. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.
Enriquece los recursos
Recupera los detalles del activo del dispositivo USM de LevelBlue. Dentro del dispositivo USM, un activo opera en la red de la organización como un equipo integrado, que incluye una dirección IP exclusiva. Un activo puede ser una PC, una impresora, un firewall, un router, un servidor o varios dispositivos permitidos por la red. El activo está supervisado por al menos un sensor de dispositivo USM.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| modelo | Devuelve si existe en el resultado JSON. |
| descr | Devuelve si existe en el resultado JSON. |
| Nombre de host | Devuelve si existe en el resultado JSON. |
| asset_type | Devuelve si existe en el resultado JSON. |
| fqdn | Devuelve si existe en el resultado JSON. |
| dispositivos | Devuelve si existe en el resultado JSON. |
| asset_value | Devuelve si existe en el resultado JSON. |
| ips | Devuelve si existe en el resultado JSON. |
| id | Devuelve si existe en el resultado JSON. |
| sensores | Devuelve si existe en el resultado JSON. |
| os | Devuelve si existe en el resultado JSON. |
| redes | Devuelve si existe en el resultado JSON. |
| ícono | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero o falso | success:False |
Resultado de JSON
[
{
"EntityResult": {
"model": null,
"descr": " ",
"hostname": "Hostname",
"asset_type": "Internal",
"fqdn": " ",
"devices": [],
"asset_value": "2",
"ips": {
"3.3.3.3": {
"ip": "192.0.2.1",
"mac": "01:23:45:AB:CD:EF"
}},
"id": "123D37D595B800734550B9D9D6A958C6",
"sensors": {
"C221234962EA11E697DE0AF71A09DF3B": {
"ip": "192.0.2.1",
"ctxs": {
"C228355962EA11E697DE0AF71A09DF3B": "AlienVault"
},
"name": "DA"
}},
"os": "Linux",
"networks": {
"7E4B12EEFD06A21F898345C2AB46EB10": {
"ips": "192.0.2.1/24",
"ctx": "C228355962EA11E697DE0AF71A09DF3B",
"name": "Pvt_000"
}},
"icon": " "
},
"Entity": "example.com"
}
]
Enriquece las vulnerabilidades
Recupera información sobre vulnerabilidades del dispositivo USM de LevelBlue. El escáner de vulnerabilidades integrado en el sensor del dispositivo USM puede detectar vulnerabilidades en los activos críticos. Estas vulnerabilidades descubiertas se pueden usar en reglas de correlación cruzada, aplicación y generación de informes de auditoría.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| AlientVault_Severity | Devuelve si existe en el resultado JSON. |
| AlientVault_Service | Devuelve si existe en el resultado JSON. |
| AlientVault_Vulnerability | Devuelve si existe en el resultado JSON. |
| AlientVault_Scan Time | Devuelve si existe en el resultado JSON. |
| AlientVault_Asset | Devuelve si existe en el resultado JSON. |
| AlientVault_Id | Devuelve si existe en el resultado JSON. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero o falso | success:False |
Resultado de JSON
[
{
"EntityResult": [{
"Severity": "High",
"Service": "general (0/tcp))",
"Vulnerability": "TCP Sequence Number Approximation Reset Denial of Service Vulnerability",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123456"
}, {
"Severity": "High",
"Service": "https (443/tcp)",
"Vulnerability": "robot(s).txt exists on the Web Server",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123457"
}, {
"Severity": "Medium",
"Service": "general (0/tcp))",
"Vulnerability": "TCP timestamps",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123458"
}],
"Entity": "test"
}
]
Recupera los últimos archivos PCAP
Recupera los últimos archivos PCAP de AlienVault.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Cantidad de archivos para recuperar | String | N/A | Ejemplo: 10 |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
[
{
"scan_name": "pcap_file_1545041396_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041397_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041398_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}
]
Cómo obtener archivos PCAP para eventos
Obtén archivos PCAP para los eventos de una alerta.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
{
"#0-1B09DN3B0D2011E985730AS799BFE5BC": "obLD1AACAAQAAAAAAAAAAAAABdwAAAABV+kUZQAHyFMAAAXqAAAF6gr3GgnfOwobLz7Y6wgARQAF3Dd3QABnBvvXVduqw6wfLg8MmgG7xmc2dMr3EdxQEAD+OgAAABcDAwdVAAAAAAAAAASEw70Ys0kQbz8wdaj1lsHAAA=="
}
Cómo obtener informes de vulnerabilidades
Obtén archivos de informes de vulnerabilidades del entorno.
Parámetros
| Nombre del parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Cantidad de archivos para recuperar | cadena | N/A | Ejemplo: 10 |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero o falso | is_success:False |
Resultado de JSON
[
{
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link":
"https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C228351E697DE071A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}
]
Ping
Probar la conectividad
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| correcto | Verdadero o falso | success:False |
Conectores
Para obtener más detalles sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).
Conector del dispositivo AlienVault USM
Usa los siguientes parámetros para configurar el conector:
| Nombre del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Entorno | DDL | N/A | Sí | Selecciona el entorno requerido. Por ejemplo, "Cliente uno". Si el campo Entorno de la alerta está vacío, se inyectará en este entorno. |
| Ejecutar cada | Número entero | 0:0:0:10 | No | Selecciona la hora en la que se ejecutará la conexión. |
| Nombre del campo del producto | String | device_product | Sí | Es el nombre del campo que se usa para determinar el producto del dispositivo. |
| Nombre del campo del evento | String | event_name | Sí | Es el nombre del campo que determina el nombre del evento (subtipo). |
| Tiempo de espera de la secuencia de comandos (segundos) | String | 60 | Sí | Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | N/A | Sí | Dirección de la instancia del dispositivo USM de LevelBlue, como https://<instance>.alienvault.com |
| Nombre de usuario | String | N/A | Sí | Es el correo electrónico del usuario. |
| Contraseña | Contraseña | N/A | Sí | Contraseña del usuario correspondiente. |
| Cantidad máxima de eventos por alerta | Número entero | 10 | Sí | Limita la cantidad de eventos por alerta. |
| Máx. de días hacia atrás | Número entero | 1 | Sí | Cantidad de días anteriores al día de hoy para recuperar alertas.
Este parámetro se puede aplicar a la iteración inicial del conector después de que lo habilites por primera vez o al valor de resguardo para una marca de tiempo del conector vencida. |
| Cantidad máxima de alertas por ciclo | Número entero | 10 | Sí | Es la cantidad máxima de alertas que se recuperarán en cada ciclo del conector. Limita la cantidad de alertas en cada ciclo. |
| Zona horaria del servidor | String | UTC | Sí | Zona horaria configurada en la instancia de AlienVault, como UTC Asia/Jerusalem. |
| Nombre del campo del entorno | String | N/A | No | Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
Reglas del conector
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.