Integre o dispositivo USM da LevelBlue com o SecOps da Google
Este documento descreve como integrar o dispositivo de gestão de segurança unificada (USM) da LevelBlue com o Google Security Operations (Google SecOps).
Versão da integração: 21.0
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://<instance>.alienvault.com | Sim | Endereço da instância do dispositivo LevelBlue USM. |
| Nome de utilizador | String | N/A | Sim | O endereço de email do utilizador para estabelecer ligação ao dispositivo USM da LevelBlue. |
| Palavra-passe | Palavra-passe | N/A | Sim | A palavra-passe da conta de utilizador. |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. |
Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.
Enriqueça os recursos
Recupere os detalhes dos recursos do dispositivo USM LevelBlue. No USM Appliance, um recurso funciona na rede da organização como um equipamento integrado, que inclui um endereço IP exclusivo. Um recurso pode ser um PC, uma impressora, uma firewall, um router, um servidor ou vários dispositivos permitidos pela rede. Um recurso é supervisionado por, pelo menos, um sensor de dispositivo USM.
Parâmetros
N/A
É apresentado em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| modelo | Devolve se existir no resultado JSON |
| descr | Devolve se existir no resultado JSON |
| hostname | Devolve se existir no resultado JSON |
| asset_type | Devolve se existir no resultado JSON |
| fqdn | Devolve se existir no resultado JSON |
| dispositivos | Devolve se existir no resultado JSON |
| asset_value | Devolve se existir no resultado JSON |
| ips | Devolve se existir no resultado JSON |
| id | Devolve se existir no resultado JSON |
| sensores | Devolve se existir no resultado JSON |
| os | Devolve se existir no resultado JSON |
| redes | Devolve se existir no resultado JSON |
| ícone | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| êxito | Verdadeiro ou falso | success:False |
Resultado JSON
[
{
"EntityResult": {
"model": null,
"descr": " ",
"hostname": "Hostname",
"asset_type": "Internal",
"fqdn": " ",
"devices": [],
"asset_value": "2",
"ips": {
"3.3.3.3": {
"ip": "192.0.2.1",
"mac": "01:23:45:AB:CD:EF"
}},
"id": "123D37D595B800734550B9D9D6A958C6",
"sensors": {
"C221234962EA11E697DE0AF71A09DF3B": {
"ip": "192.0.2.1",
"ctxs": {
"C228355962EA11E697DE0AF71A09DF3B": "AlienVault"
},
"name": "DA"
}},
"os": "Linux",
"networks": {
"7E4B12EEFD06A21F898345C2AB46EB10": {
"ips": "192.0.2.1/24",
"ctx": "C228355962EA11E697DE0AF71A09DF3B",
"name": "Pvt_000"
}},
"icon": " "
},
"Entity": "example.com"
}
]
Enriqueça as vulnerabilidades
Obter informações de vulnerabilidade do dispositivo USM LevelBlue. O analisador de vulnerabilidades integrado no sensor do dispositivo USM pode detetar vulnerabilidades em recursos críticos. Estas vulnerabilidades descobertas podem ser usadas em regras de correlação cruzada, aplicação e relatórios de auditoria.
Parâmetros
N/A
É apresentado em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| AlientVault_Severity | Devolve se existir no resultado JSON |
| AlientVault_Service | Devolve se existir no resultado JSON |
| AlientVault_Vulnerability | Devolve se existir no resultado JSON |
| AlientVault_Scan Time | Devolve se existir no resultado JSON |
| AlientVault_Asset | Devolve se existir no resultado JSON |
| AlientVault_Id | Devolve se existir no resultado JSON |
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| êxito | Verdadeiro ou falso | success:False |
Resultado JSON
[
{
"EntityResult": [{
"Severity": "High",
"Service": "general (0/tcp))",
"Vulnerability": "TCP Sequence Number Approximation Reset Denial of Service Vulnerability",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123456"
}, {
"Severity": "High",
"Service": "https (443/tcp)",
"Vulnerability": "robot(s).txt exists on the Web Server",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123457"
}, {
"Severity": "Medium",
"Service": "general (0/tcp))",
"Vulnerability": "TCP timestamps",
"Scan Time": "2014-02-26 02:08:59",
"Asset": "Hostname (192.0.2.1)",
"Id": "123458"
}],
"Entity": "test"
}
]
Obter últimos ficheiros PCAP
Obtenha os últimos ficheiros PCAP do AlienVault.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Number Of Files To Fetch | String | N/A | Exemplo: 10 |
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Resultado JSON
[
{
"scan_name": "pcap_file_1545041396_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041397_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}, {
"scan_name": "pcap_file_1545041398_10_192.0.2.1.pcap",
"creation_time": "2018-12-17 10:09:56",
"user": null,
"download_link": "https://www.alienvault.com/ossim/pcap/download.php?scan_name=0000000_10_192.0.2.1.pcap&sensor_ip=192.0.2.1",
"sensor_ip": "192.0.2.1",
"duration": "10"
}
]
Obtenha ficheiros PCAP para eventos
Receba ficheiros PCAP para eventos num alerta.
Parâmetros
N/A
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Resultado JSON
{
"#0-1B09DN3B0D2011E985730AS799BFE5BC": "obLD1AACAAQAAAAAAAAAAAAABdwAAAABV+kUZQAHyFMAAAXqAAAF6gr3GgnfOwobLz7Y6wgARQAF3Dd3QABnBvvXVduqw6wfLg8MmgG7xmc2dMr3EdxQEAD+OgAAABcDAwdVAAAAAAAAAASEw70Ys0kQbz8wdaj1lsHAAA=="
}
Receba relatórios de vulnerabilidades
Obtenha ficheiros de relatórios de vulnerabilidades do ambiente.
Parâmetros
| Nome do parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Número de ficheiros a obter | de string | N/A | Exemplo: 10 |
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro ou falso | is_success:False |
Resultado JSON
[
{
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link":
"https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C228351E697DE071A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}, {
"creation_time": "2014-02-26 02:08:59",
"download_link": "https://www.alienvault.com/ossim/vulnmeter/lr_rescsv.php?treport=latest&ipl=192.0.2.1&ctx=C22835597DE0AF71A09DF3B&scantype=M",
"Address": "Hostname (192.0.2.1)"
}
]
Tchim-tchim
Teste a conetividade.
Parâmetros
N/A
É apresentado em
Esta ação é executada em todas as entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| êxito | Verdadeiro ou falso | success:False |
Conetores
Para mais detalhes sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).
Conetor do dispositivo AlienVault USM
Use os seguintes parâmetros para configurar o conector:
| Nome do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Ambiente | LDD | N/A | Sim | Selecione o ambiente necessário. Por exemplo, "Cliente um". Se o campo Ambiente do alerta estiver vazio, é injetado neste ambiente. |
| Executar a cada | Número inteiro | 0:0:0:10 | Não | Selecione a hora para executar a associação. |
| Nome do campo do produto | String | device_product | Sim | O nome do campo usado para determinar o produto do dispositivo. |
| Nome do campo de evento | String | event_name | Sim | O nome do campo que determina o nome do evento (subtipo). |
| Limite de tempo do script (segundos) | String | 60 | Sim | O limite de tempo limite, em segundos, para o processo Python que executa o script atual. |
| Raiz da API | String | N/A | Sim | Endereço da instância do dispositivo USM LevelBlue, como https://<instance>.alienvault.com |
| Nome de utilizador | String | N/A | Sim | Email do utilizador. |
| Palavra-passe | Palavra-passe | N/A | Sim | A palavra-passe do utilizador correspondente. |
| Máximo de eventos por alerta | Número inteiro | 10 | Sim | Limita o número de eventos por alerta. |
| Máximo de dias para trás | Número inteiro | 1 | Sim | O número de dias anteriores ao dia de hoje para obter alertas.
Este parâmetro pode aplicar-se à iteração inicial do conector depois de ativar o conector pela primeira vez ou ao valor alternativo para uma data/hora do conector expirada. |
| Máximo de alertas por ciclo | Número inteiro | 10 | Sim | O número máximo de alertas a obter em cada ciclo do conetor. Limita o número de alertas em cada ciclo. |
| Fuso horário do servidor | String | UTC | Sim | O fuso horário configurado na instância do AlienVault, como
UTC Asia/Jerusalem. |
| Nome do campo do ambiente | String | N/A | Não | O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
Regras de conector
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.