LogRhythm
Versión de integración: 17.0
A partir de la versión 10 de esta integración, ya no habrá un conector de alarmas. Este conector dejó de estar disponible, ya que la API de SOAP dejó de estar disponible en LogRhythm. Ahora toda la integración usa la API de REST, que se introdujo en la versión 7.9 de LogRhythm.
Para obtener más información, consulta SOAP API (LogRhythm 7.x.x).
Además, la integración se actualizó a la versión 3 de Python, por lo que no se admite mantener este conector (de la versión 9) con la versión más reciente de la integración (versión 10), lo que provoca comportamientos inesperados.
Sigue el flujo recomendado para esta actualización:
Antes de actualizar la integración a la versión 10, migra todos los "LogRhythm Alarms Connector" al "LogRhythm - Rest API Alarms Connector" con la versión 9 de la integración.
Actualiza la integración a la versión 10.
Configura la integración de LogRhythm en Google Security Operations
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://{IP}:8501 | Sí | Es la raíz de la API de la instancia de LogRhythm. |
| Token de API | Contraseña | N/A | No | Es el token de API de la instancia de LogRhythm. |
| Archivo del certificado de CA | String | N/A | No | Archivo de certificado de CA codificado en Base64. |
| Verificar SSL | Casilla de verificación | Desmarcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de LogRhythm sea válido. |
Acciones
Ping
Descripción
Prueba la conectividad con LogRhythm con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente: "Successfully connected to the LogRhythm server with the provided connection parameters!" La acción debería fallar y detener la ejecución de la guía: Si no se pudo establecer la conexión, aparecerá el mensaje "No se pudo conectar al servidor de LogRhythm". Error is {0}".format(exception.stacktrace) |
General |
Enriquece entidades
Descripción
Enriquece las entidades con la información de LogRhythm. Entidades admitidas: Nombre de host y dirección IP.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Crear estadística | Casilla de verificación | Marcado | No | Si está habilitada, la acción crea una sugerencia que contiene toda la información recuperada sobre la entidad. |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- Dirección IP
- Nombre de host
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"id": 2,
"entity": {
"id": 2,
"name": "EchoTestEntity"
},
"name": "EchoTestHost",
"shortDesc": "LogRhythm ECHO",
"riskLevel": "None",
"threatLevel": "None",
"threatLevelComments": "",
"recordStatusName": "Active",
"hostZone": "Internal",
"location": {
"id": -1
},
"os": "Windows",
"osVersion": "Microsoft Windows NT 6.2.9200.0",
"useEventlogCredentials": false,
"osType": "Server",
"dateUpdated": "2021-04-14T09:18:17.677Z",
"hostRoles": [],
"hostIdentifiers": [
{
"type": "IPAddress",
"value": "10.1.2.50",
"dateAssigned": "2021-04-14T09:17:31Z"
},
{
"type": "WindowsName",
"value": "EchoTestHost",
"dateAssigned": "2021-04-14T09:17:31Z"
}
]
}
Enriquecimiento de entidades
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| descripción | Cuando está disponible en JSON |
| risk_level | Cuando está disponible en JSON |
| threat_level | Cuando está disponible en JSON |
| estado | Cuando está disponible en JSON |
| host_zone | Cuando está disponible en JSON |
| os | Cuando está disponible en JSON |
| tipo | Cuando está disponible en JSON |
| ips | Cuando está disponible en JSON |
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: If data is available for one entity (is_success=true): "Se enriquecieron correctamente las siguientes entidades con información de LogRhythm: {entity.identifier}". Si los datos no están disponibles para una entidad (is_success=true): "La acción no pudo enriquecer las siguientes entidades con información de LogRhythm: {entity.identifier}". Si los datos no están disponibles para todas las entidades (is_success=false): "Ninguna de las entidades proporcionadas se enriqueció". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro error: "Error al ejecutar la acción "Enrich Entities". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla del muro de casos | Título de la tabla: {entity.identifier} | Entidad |
Actualizar alarma
Descripción
Actualiza una alarma en LogRhythm.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| ID de alarma | String | N/A | Sí | Especifica el ID de la alarma que se debe actualizar en LogRhythm. |
| Estado | DDL | Selecciona una opción Valores posibles:
|
No | Especifica el estado de la alarma. |
| Puntuación de riesgo | Número entero | N/A | No | Especifica una nueva puntuación de riesgo para la alarma. Máximo: 100 |
Fecha de ejecución
Esta acción se ejecuta en las siguientes entidades:
- URL
- Dirección IP
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa el código de estado 200 (is_success=true): "Se actualizó correctamente la alarma con el ID {ID} en LogRhythm". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Actualizar alarma". Reason: {0}''.format(error.Stacktrace) Si el código de estado no es 200: "Error al ejecutar la acción "Actualizar alarma". Motivo: {0}''.format(responseMessage)" Si el parámetro "Estado" se establece en "Seleccionar uno" y no se proporciona ninguno de los otros valores, se mostrará el siguiente mensaje: "Error al ejecutar la acción "Actualizar alarma". Motivo: Al menos uno de los parámetros de acción debe tener un valor proporcionado". |
General |
Obtén detalles de la alarma
Descripción
Obtén detalles de las alarmas en LogRhythm. Esta acción te permite obtener detalles de los eventos del motor de inteligencia avanzada (AIE) de LogRhythm y transferir estos datos a Google SecOps.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| IDs de alarma | CSV | N/A | Sí | Especifica una lista separada por comas de los IDs de las alarmas para las que necesitamos recuperar detalles. |
| Cantidad máxima de eventos para recuperar | Número entero | 50 | No | Especifica la cantidad de eventos que se devolverán. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
[
{
"alarmRuleID": 98,
"alarmId": 18755,
"personId": -100,
"alarmDate": "2021-08-17T13:36:39.78",
"alarmStatus": 0,
"alarmStatusName": "New",
"entityId": 2,
"entityName": "EchoTestEntity",
"alarmRuleName": "LogRhythm Agent Heartbeat Missed",
"lastUpdatedID": -100,
"lastUpdatedName": "LogRhythm Administrator",
"dateInserted": "2021-08-17T13:36:39.807",
"dateUpdated": "2021-08-17T13:36:39.86",
"associatedCases": [],
"lastPersonID": null,
"eventCount": 1,
"eventDateFirst": "2021-08-17T13:36:37.057",
"eventDateLast": "2021-08-17T13:36:37.057",
"rbpMax": 39,
"rbpAvg": 39,
"smartResponseActions": null,
"alarmDataCached": "N",
"alarmEventsDetails": [
{
"account": "admin5",
"action": "",
"amount": null,
"bytesIn": null,
"bytesOut": null,
"classificationId": 2600,
"classificationName": "Compromise",
"classificationTypeName": "Security",
"command": "",
"commonEventId": 1031412,
"cve": "",
"commonEventName": "AIE: CSC: Disabled Account Auth Success",
"count": 1,
"directionId": 0,
"directionName": "Unknown",
"domain": "",
"duration": 0,
"entityId": -1000001,
"entityName": "",
"group": "",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHostId": -1,
"impactedHostName": "",
"impactedInterface": "",
"impactedIP": null,
"impactedLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"impactedMAC": "",
"impactedName": "",
"impactedNATIP": "",
"impactedNATPort": null,
"impactedNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"impactedPort": -1,
"impactedZone": "Unknown",
"itemsPacketsIn": 0,
"itemsPacketsOut": 0,
"logDate": "2021-08-16T09:51:16.993",
"login": "admin5",
"logMessage": "",
"logSourceHostId": -1000001,
"logSourceHostName": "AI Engine Server",
"logSourceName": "AI Engine",
"logSourceTypeName": "LogRhythm AI Engine",
"messageId": 173885,
"mpeRuleId": -1,
"mpeRuleName": "",
"normalDateMax": "0001-01-01T00:00:00",
"objectName": "",
"objectType": "",
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHostName": "",
"originInterface": "",
"originIP": null,
"originLocation": {
"countryCode": "",
"name": "",
"latitude": 0,
"locationId": 0,
"locationKey": "",
"longitude": 0,
"parentLocationId": 0,
"recordStatus": "Deleted",
"regionCode": "",
"type": "NULL",
"dateUpdated": "0001-01-01T00:00:00"
},
"originMAC": "",
"originName": "",
"originNATIP": "",
"originNATPort": null,
"originNetwork": {
"beginIPRange": {
"value": ""
},
"dateUpdated": "0001-01-01T00:00:00",
"riskThreshold": "",
"endIPRange": {
"value": ""
},
"entityId": 0,
"hostZone": "Unknown",
"locationId": 0,
"longDesc": "",
"name": "",
"networkId": 0,
"recordStatus": "Deleted",
"shortDesc": ""
},
"originPort": -1,
"originZone": "Unknown",
"parentProcessId": "",
"parentProcessName": "",
"parentProcessPath": "",
"policy": "",
"priority": 91,
"process": "",
"processId": -1,
"protocolId": -1,
"protocolName": "",
"quantity": 0,
"rate": 0,
"reason": "",
"recipient": "",
"result": "",
"responseCode": "",
"sender": "",
"session": "",
"recipientIdentityId": null,
"recipientIdentityName": ""
}
]
}
]
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa el código de estado 200 para una entidad (is_success=true): "Se recuperaron correctamente los detalles de las siguientes alarmas en LogRhythm: {IDs}" Si no se encontró una alarma (is_success=true):"No se encontraron las siguientes alarmas en LogRhythm: {IDs}" Si no se encontraron todas las alarmas (is_success=false): "None of the provided alarms were found in LogRhythm." La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Obtener detalles de la alarma". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla del muro de casos | Nombre de la tabla: Alarm {ID} Events Columnas de la tabla:
|
General |
Agregar comentario a la alarma
Descripción
Agrega un comentario a la alarma en LogRhythm.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| ID de alarma | String | N/A | Sí | Especifica el ID de la alarma a la que necesitas agregar un comentario en LogRhythm. |
| Comentario | String | N/A | Sí | Especifica un comentario que se debe agregar a la alarma. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa el código de estado 200 (is_success=true): "Se agregó correctamente el comentario a la alarma con el ID {ID} en LogRhythm". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Add Comment To Alarm". Reason: {0}''.format(error.Stacktrace) Si el código de estado no es 200: "Error al ejecutar la acción "Add Comment To Alarm". Motivo: {0}''.format(responseMessage) |
General |
Enumera la evidencia del caso
Descripción
Enumera las pruebas del caso en LogRhythm.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| ID del caso | String | N/A | Sí | Especifica el ID del caso para el que deseas devolver una lista de pruebas. |
| Filtro de estado | CSV | N/A | No | Especifica una lista separada por comas de los filtros de estado para la evidencia. Los valores posibles son pendiente, completado y con errores. Si no se proporciona nada, la acción devuelve evidencia de todos los estados. |
| Tipo de filtro | CSV | N/A | No | Especifica una lista de filtros de tipos separados por comas para la evidencia. Valores posibles: alarm, userEvents, log, note, file. Si no se proporciona nada, la acción devuelve evidencia de todos los tipos. |
| Cantidad máxima de evidencias que se pueden devolver | Número entero | 50 | No | Especifica la cantidad de evidencia que se devolverá. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
[
{
"number": 4,
"dateCreated": "2021-07-31T11:00:40.2433333Z",
"dateUpdated": "2021-07-31T11:00:40.2433333Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "test",
"pinned": false,
"datePinned": null,
"file": {
"name": "UploadCustomListTemplate .csv",
"size": 161
}
}
]
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa el código de estado 200 (is_success=true): "Se enumeró correctamente la evidencia relacionada con el caso con el ID {ID} en LogRhythm". Si no hay pruebas disponibles (is_success=false): "No se encontraron pruebas para el caso con ID {ID} en LogRhythm". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "List Case Evidence". Reason: {0}''.format(error.Stacktrace) Si se informa el código de estado 404: "Error al ejecutar la acción "List Case Evidence". Motivo: {0}''.format(message) Si se proporciona un valor no válido para el parámetro "Status", se mostrará el mensaje "Error executing action "List Case Evidence"". Motivo: Se proporcionaron valores no válidos en el parámetro "Filtro de estado": {invalid value}. Los valores posibles son pendiente, completado y con errores. Si se proporciona un valor no válido para el parámetro "Type", se mostrará el siguiente mensaje: "Error al ejecutar la acción "List Case Evidence". Motivo: Se proporcionaron valores no válidos en el parámetro "Type": {invalid value}. Valores posibles: alarm, userEvents, log, note, file. |
General |
| Muro de casos | Evidencia del caso {case id} Tipo Estado Contexto |
Agregar alarma al estuche
Descripción
Agrega una alarma al caso en LogRhythm.
Parámetro
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| ID del caso | String | N/A | Sí | Especifica el ID del caso al que quieres agregar alarmas. |
| IDs de alarma | CSV | N/A | Sí | Especifica una lista separada por comas de las alarmas que se deben agregar al caso. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
[
{
"number": 23,
"dateCreated": "2021-08-11T09:02:17.0066667Z",
"dateUpdated": "2021-08-11T09:02:17.0066667Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15298,
"alarmDate": "2021-07-30T02:07:29.813+03:00",
"alarmRuleId": 1000,
"alarmRuleName": "AIE: ISO-27001: File Monitoring Event-File Changes",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": -100,
"entityName": "Global Entity",
"riskBasedPriorityMax": 1
}
},
{
"number": 24,
"dateCreated": "2021-08-11T09:03:18.65Z",
"dateUpdated": "2021-08-11T09:03:18.65Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "alarm",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"alarm": {
"alarmId": 15297,
"alarmDate": "2021-07-30T02:07:28.353+03:00",
"alarmRuleId": 1419,
"alarmRuleName": "AIE: CCF: FIM General Activity",
"dateInserted": "2021-07-30T02:07:29.82+03:00",
"entityId": 1,
"entityName": "Primary Site",
"riskBasedPriorityMax": 0
}
}
]
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa el código de estado 201 (is_success=true): "Se agregó correctamente evidencia de alarma relacionada con el caso con ID {ID} en LogRhythm". Si se informa el código de estado 200 (is_success=true): "Todas las evidencias de alarma proporcionadas ya formaban parte del caso con el ID {ID} en LogRhythm". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Add Alarm To Case". Reason: {0}''.format(error.Stacktrace) Si se informa el código de estado 404: "Error al ejecutar la acción "Agregar alarma al caso". Motivo: {0}''.format(message or details) |
General |
Adjuntar archivo al caso
Descripción
Adjunta un archivo al caso en LogRhythm.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| ID del caso | String | N/A | Sí | Especifica el ID del caso al que deseas adjuntar archivos. |
| Rutas de acceso de los archivos | CSV | N/A | Sí | Especifica una lista separada por comas de rutas de acceso absolutas a archivos. |
| Nota | String | N/A | No | Especifica una nota que se debe agregar al caso junto con el archivo. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
[
{
"number": 26,
"dateCreated": "2021-08-11T09:17:33.91Z",
"dateUpdated": "2021-08-11T09:17:33.91Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "file",
"status": "completed",
"statusMessage": null,
"text": "",
"pinned": false,
"datePinned": null,
"file": {
"name": "Get Deep Visibility Query Result_JsonResultSample.json",
"size": 4979
}
}
]
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se completó para un archivo ruta de acceso (is_success=true): "Se agregaron correctamente los siguientes archivos al caso con el ID {ID} en LogRhythm". Si falla para una ruta de acceso al archivo (is_success= true): "No se pudieron agregar los siguientes archivos al caso con el ID {ID} en LogRhythm: {rutas de acceso a los archivos con errores}". Si falló para todas las rutas de acceso a archivos (is_success=false): "No se agregaron archivos al caso con el ID {ID} en LogRhythm". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Adjuntar archivo al caso". Reason: {0}''.format(error.Stacktrace) Si se informa el código de estado 404: "Error al ejecutar la acción "Adjuntar archivo al caso". Motivo: {0}''.format(message) Si se agotó el tiempo de espera: "Error al ejecutar la acción "Adjuntar archivo al caso". Motivo: La acción agotó el tiempo de espera. Aún se están procesando los siguientes archivos: {pending files}. Aumenta el tiempo de espera en el IDE. Nota: Si agregas el mismo archivo, se creará una entrada independiente en LogRhythm. |
General |
Agregar nota al caso
Descripción
Agrega una nota al caso en LogRhythm.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| ID del caso | String | N/A | Sí | Especifica el ID del caso al que quieres agregar una nota. |
| Nota | String | N/A | Sí | Especifica una nota que se debe agregar al caso. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"number": 29,
"dateCreated": "2021-08-11T12:21:11.5547306Z",
"dateUpdated": "2021-08-11T12:21:11.5547306Z",
"createdBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"type": "note",
"status": "completed",
"statusMessage": null,
"text": "asdasd",
"pinned": false,
"datePinned": null
}
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa el código de estado 201 (is_success=true): "Se agregó correctamente una nota al caso con el ID {ID} en LogRhythm". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "Add Note To Case"". Reason: {0}''.format(error.Stacktrace) Si se informa el código de estado 404: "Error al ejecutar la acción "Add Note To Case". Motivo: {0}''.format(message) |
General |
Crear caso
Descripción
Crea un caso en LogRhythm.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Nombre | String | N/A | Sí | Especifica el nombre del caso. |
| Prioridad | DDL | 1 Valores posibles:
|
Sí | Especifica la prioridad del caso. |
| Fecha límite | String | N/A | No | Especifica la fecha límite del caso. Formato: ISO 8601 Ejemplo: 2021-04-23T12:38Z |
| Descripción | String | N/A | No | Especifica una descripción para el caso. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:37:42.8942168Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa el código de estado 201 (is_success=true): "Se creó correctamente el caso {número} en LogRhythm". La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Crear caso". Reason: {0}''.format(error.Stacktrace) Si se informa el código de estado 404: "Error al ejecutar la acción "Create Case". Motivo: {0}''.format(message) |
General |
Actualizar casos
Descripción
Actualiza un caso en LogRhythm.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| ID del caso | String | N/A | Sí | Especifica el ID del caso que se debe actualizar. |
| Nombre | String | N/A | No | Especifica un nombre nuevo para el caso. |
| Prioridad | DDL | Selecciona una opción Valores posibles:
|
No | Especifica una nueva prioridad para el caso. |
| Fecha límite | String | N/A | No | Especifica una nueva fecha límite para el caso. Formato: ISO 8601 Ejemplo: 2021-04-23T12:38Z |
| Descripción | String | N/A | No | Especifica una nueva descripción para el caso. |
| Solución | String | N/A | No | Especifica cómo se resolvió el caso. |
| Estado | DDL | Selecciona una opción Valores posibles:
|
No | Especifica el nuevo estado del caso. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"id": "BA210B5A-0E4F-4E07-A770-8C24FB82747A",
"number": 2,
"externalId": "",
"dateCreated": "2021-08-11T12:37:42.8942168Z",
"dateUpdated": "2021-08-11T12:48:52.9765558Z",
"dateClosed": null,
"owner": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"lastUpdatedBy": {
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
},
"name": "System Compromise",
"status": {
"name": "Created",
"number": 1
},
"priority": 1,
"dueDate": "2019-08-24T14:15:22Z",
"resolution": null,
"resolutionDateUpdated": null,
"resolutionLastUpdatedBy": null,
"summary": "Investigated a potential system compromise. More details at http://example.com/.",
"entity": {
"number": -100,
"name": "Global Entity",
"fullName": "Global Entity"
},
"collaborators": [
{
"number": -100,
"name": "LogRhythm Administrator",
"disabled": false
}
],
"tags": []
}
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se informa el código de estado 201 (is_success=true): "Se actualizó correctamente el caso {ID} en LogRhythm". La acción debería fallar y detener la ejecución de la guía: Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema: "Error al ejecutar la acción "Actualizar caso". Reason: {0}''.format(error.Stacktrace)" Si se informa el código de estado 404: "Error al ejecutar la acción "Actualizar caso". Motivo: {0}''.format(message) Si el código de estado es 400: "Error al ejecutar la acción "Actualizar caso". Motivo: {0}''.format(validationErrors)" Si el parámetro "Estado" o "Prioridad" se establece en "Seleccionar uno" y no se proporciona ninguno de los otros valores: "Error al ejecutar la acción "Actualizar caso". Motivo: Al menos uno de los parámetros de acción debe tener un valor proporcionado". |
General |
Descarga de archivos de casos
Descripción
Descarga los archivos relacionados con el caso en LogRhythm.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| ID del caso | String | N/A | Sí | Especifica el ID del caso desde el que deseas descargar archivos. |
| Ruta de acceso a la carpeta de descarga | String | N/A | Sí | Especifica la ruta de acceso a la carpeta en la que deseas almacenar los archivos del caso. |
| Reemplazar | Bool | Falso | Sí | Si está habilitada, la acción reemplaza el archivo con el mismo nombre. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{"absolute_file_paths": ["file_path_1","file_path_2"]}
``` ##### Entity
Enrichment
N/A
##### Insights
N/A
##### Case Wall
<table>
<thead>
<tr>
<th><strong>Result type</strong></th>
<th><strong>Value/Description</strong></th>
<th><strong>Type</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Output message*</td>
<td><p><strong>The action should not fail nor stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If the</em> <strong></strong> <em>200 status code for all cases is reported (is_success=true):</em> "Successfully downloaded files related to case with ID {ID} in LogRhythm."</p><p></p><p><em>If no files are found (is_success=true): "</em>No related files were found for the case with ID {ID} in LogRhythm."</p><p></p><p><strong>The action should fail and stop a playbook execution:</strong></p><p><strong></strong></p><p><em>If a</em> <strong></strong> <em>fatal error, like wrong credentials, no connection to the server, other is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(error.Stacktrace)"</p><p></p><p><em>If the 404 status code is reported:</em> "Error executing action "Download Case Files". Reason: {0}''.format(message)"</p><p></p><p><em>If a file with the same name already exists, but "Overwrite" is set to false:</em> "Error executing action "Download Case Files". Reason: files with path {0} already exist. Please delete the files or set "Overwrite" to true."</p></td>
<td>General</td>
</tr>
</tbody>
</table>
### List Entity Events
#### Description
List events related to entities in LogRhythm. Supported entities: Hostname, IP
Address, User, CVE, Hash, URL.
Note: This action runs as async. Adjust the script timeout value in the
Google SecOps IDE for the action as needed.
#### Parameters
<table>
<thead>
<tr>
<th><strong>Parameter Display Name</strong></th>
<th><strong>Type</strong></th>
<th><strong>Default Value</strong></th>
<th><strong>Is Mandatory</strong></th>
<th><strong>Description</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>Time Frame</td>
<td>DDL</td>
<td><p>Last Hour</p><p><strong></strong></p><p>Possible Values: </p><ul><li>Last Hour</li><li>Last 6 Hours</li><li>Last 24 Hours</li><li>Last Week</li><li>Last Month</li><li>Custom</li></ul></td>
<td>No</td>
<td>Name of the watchlist from which you want to remove values.</td>
</tr>
<tr>
<td>Start Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the start time for the results.</p><p></p><p>This parameter is mandatory, if "Custom" is selected for the "Time Frame" parameter. </p><p></p><p>Format: ISO 8601</p><p></p><p>Example: 2021-04-23T12:38Z</p></td>
</tr>
<tr>
<td>End Time</td>
<td>String</td>
<td>N/A</td>
<td>No</td>
<td><p>Specify the end time for the results. </p><p></p><p>If nothing is provided and "Custom" is selected for the "Time Frame" parameter then this parameter uses current time.</p><p></p><p>Format: ISO 8601</p></td>
</tr>
<tr>
<td>Sort Order</td>
<td>DDL</td>
<td><p>Datetime ASC <strong></strong> </p><p></p><p>Possible values:</p><ul><li>Datetime ASC</li><li>Datetime DESC</li><li>Risk ASC</li><li>RiskDESC</li></ul></td>
<td>No</td>
<td>Specify the sorting logic for the query.</td>
</tr>
<tr>
<td>Max Events To Return</td>
<td>Integer</td>
<td>50</td>
<td>No</td>
<td>Specify the number of events to return.</td>
</tr>
</tbody>
</table>
#### Run On
This action runs on the following entities:
* Hostname
* IP Address
* User
* CVE
* Hash
* URL
#### Action Results
##### Script Result
<table>
<thead>
<tr>
<th><strong>Script Result Name</strong></th>
<th><strong>Value Options</strong></th>
<th><strong>Example</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>is_success</td>
<td>True/False</td>
<td>is_success:False</td>
</tr>
</tbody>
</table>
##### JSON Result
```json
{
"kBytes": 2521.025390625,
"kBytesIn": 2500.0,
"kBytesOut": 21.025390625,
"outboundKBytes": 21.025390625,
"impactedHostTotalKBytes": 2521.025390625,
"keyField": "messageId",
"count": 1,
"classificationId": 3200,
"classificationName": "Error",
"classificationTypeName": "Operations",
"commonEventName": "HTTP 504 : Server Error - Gateway Time-Out",
"commonEventId": 8938,
"direction": 3,
"directionName": "External",
"entityId": 2,
"entityName": "EchoTestEntity",
"rootEntityId": 2,
"rootEntityName": "EchoTestEntity",
"impactedEntityId": -100,
"impactedEntityName": "Global Entity",
"impactedHost": "192.0.2.11",
"impactedInterface": "0",
"impactedIp": "192.0.2.11",
"impactedPort": 80,
"impactedZoneName": "External",
"indexedDate": 1629460029041,
"insertedDate": 1629123439811,
"logDate": 1629134239789,
"logMessage": "CISCONGFW EVENT Ev_Id=436 Ev",
"logSourceHost": "EchoTestHost",
"logSourceHostId": 2,
"logSourceHostName": "EchoTestHost",
"logSourceId": 15,
"logSourceName": "Echo_2_1000107",
"logSourceType": 1000107,
"logSourceTypeName": "Flat File - Cisco NGFW",
"messageId": "23066",
"messageTypeEnum": 2,
"mpeRuleId": 1176829,
"mpeRuleName": "HTTP 504 : Server Error : Gateway Timeout",
"normalDate": 1629123439791,
"normalDateMin": 1629123439791,
"normalMsgDateMax": 1629123439791,
"normalDateHour": 1629122400000,
"originEntityId": -100,
"originEntityName": "Global Entity",
"originHostId": -1,
"originHost": "192.0.2.12",
"originInterface": "0",
"originIp": "192.0.2.12",
"originPort": 14042,
"originZone": 3,
"originZoneName": "External",
"priority": 38,
"process": "5",
"processId": 300003,
"protocolId": 6,
"protocolName": "TCP",
"serviceId": 1388,
"serviceName": "HTTP",
"portProtocol": "HTTP",
"session": "436",
"severity": "57",
"url": "http://www.google.com/",
"vendorMessageId": "504",
"version": "2",
"status": "504"
}
Muro de casos
| Tipo de resultado | Valor / Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se encontraron datos para una entidad (is_success=true): "Se recuperaron correctamente los eventos de las siguientes entidades en LogRhythm: {entity.identifier}". Si falló para una entidad (is_success=true): "La acción no pudo recuperar eventos para las siguientes entidades en LogRhythm: {entity.identifier}". Si falló para todas las entidades (is_success=false): "No se pudieron recuperar los eventos de las entidades proporcionadas en LogRhythm". Si no hay datos para al menos una entidad (is_success=true): "No se encontraron eventos para las siguientes entidades en LogRhythm: {entity.identifier}". Si no hay datos para todas las entidades (is_success=false): "No se encontraron eventos para las entidades proporcionadas en LogRhythm". Si se agotó el tiempo de espera para una entidad (is_success=true): "Se agotó el tiempo de espera de la acción durante la ejecución. Entidades pendientes: {entidades que no devolvieron datos}. Aumenta el tiempo de espera de la acción en el IDE". Mensaje asíncrono: "Waiting for events information for the following entities: {entity.identifier}" La acción debería fallar y detener la ejecución de la guía: Si se informa un error grave, como credenciales incorrectas, falta de conexión con el servidor o algún otro problema, se mostrará el mensaje "Error al ejecutar la acción "List Entity Events". Reason: {0}''.format(error.Stacktrace)" Si se agotó el tiempo de espera para todas las entidades (is_success=false): "Error al ejecutar la acción "List Entity Events". Motivo: La acción agotó el tiempo de espera durante la ejecución. No se recuperó información sobre los eventos para las entidades proporcionadas. Aumenta el tiempo de espera de la acción en el IDE". Si el parámetro "Hora de inicio" está vacío, cuando el parámetro "Período" se establece en "Personalizado" (falla): "Error al ejecutar la acción "". Motivo: Se debe proporcionar la "Hora de inicio" cuando se selecciona "Personalizado" en el parámetro "Período"." Si el parámetro "Hora de inicio" tiene un valor mayor que el parámetro "Hora de finalización" (falla): "Error al ejecutar la acción "". Motivo: "La hora de finalización" debe ser posterior a "La hora de inicio". Si la cantidad máxima de elementos que se pueden devolver no es mayor que 0: "Error al ejecutar la acción". Motivo: "La cantidad máxima de eventos que se pueden devolver" debe ser mayor que 0. |
General |
| Tabla del muro de casos | Nombre de la tabla: {entity.identifier} Columnas de la tabla:
Nota: Esta columna estará visible si hay al menos un registro con valor. |
Entidad |
Conectores
Conector de LogRhythm Cases
Descripción
Extrae casos de LogRhythm.
Parámetros del conector
| Nombre visible del parámetro | Tipo | Valor predeterminado | Is Mandatory | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | N/A | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | event_type | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
| Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | https://{IP}:8501 | Sí | Es la raíz de la API de la instancia de LogRhythm. |
| Token de API | Contraseña | N/A | Sí | Es el token de la API de LogRhythm. |
| Máx. de días hacia atrás | Número entero | 1 | Sí | Cantidad de días desde los que se recuperarán los casos. |
| Prioridad más baja para recuperar | Número entero | N/A | No | Es la prioridad más baja que se debe usar para recuperar casos. Si no se proporciona nada, se incorporan los casos con todas las prioridades. Los valores posibles son del 1 al 5. |
| Límite de recuento de alertas | Número entero | 10 | Sí | Cantidad de casos que se procesarán en cada iteración del conector. |
| Archivo del certificado de CA | String | N/A | No | Archivo de certificado de CA codificado en Base64. |
| Usar la lista blanca como lista negra | Casilla de verificación | Desmarcado | Sí | Si está habilitado, la lista de entidades permitidas se usa como lista de entidades bloqueadas. |
| Verificar SSL | Casilla de verificación | Desmarcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de LogRhythm sea válido. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
LogRhythm: conector de alertas de la API de Rest
Descripción
Extrae alarmas de LogRhythm con la API de Rest.
Configura el conector de alarmas de la API de Rest de LogRhythm en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Nombre del producto | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | classificationTypeName | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
| Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | https://{IP}:8501 | Sí | Es la raíz de la API de la instancia de LogRhythm. |
| Token de API | Contraseña | N/A | Sí | Es el token de la API de LogRhythm. |
| Horas máximas hacia atrás | Número entero | 1 | No | Cantidad de horas desde las que se recuperarán las alertas. |
| Cantidad máxima de alarmas que se pueden recuperar | Número entero | 10 | No | Cantidad de alertas que se procesarán en cada iteración del conector. |
| Usar la lista blanca como lista negra | Casilla de verificación | Desmarcado | Sí | Si está habilitado, la lista de entidades permitidas se usa como lista de entidades bloqueadas. |
| Verificar SSL | Casilla de verificación | Desmarcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de LogRhythm sea válido. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
Trabajos
Sincroniza los comentarios del caso
Descripción
Este trabajo sincroniza los comentarios en los casos de LogRhythm y en los casos de Google SecOps.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://{IP}:8501 | Sí | Es la raíz de la API de la instancia de LogRhythm. |
| Token de API | Contraseña | N/A | Sí | Es el token de la API de LogRhythm. |
| Archivo del certificado de CA | String | N/A | No | Archivo de certificado de CA codificado en Base64. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de LogRhythm sea válido. |
Sincroniza los casos cerrados
Descripción
Este trabajo sincroniza los casos cerrados de LogRhythm y las alertas de SecOps de Google.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://{IP}:8501 | Sí | Es la raíz de la API de la instancia de LogRhythm. |
| Token de API | Contraseña | N/A | Sí | Es el token de la API de LogRhythm. |
| Archivo del certificado de CA | String | N/A | No | Archivo de certificado de CA codificado en Base64. |
| Horas máximas hacia atrás | Número entero | 24 | No | Especifica la cantidad de horas hacia atrás para sincronizar los estados. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de LogRhythm sea válido. |
Sincronizar comentarios de alarmas
Descripción
Este trabajo sincroniza los comentarios en las alarmas de LogRhythm y los casos de Google SecOps.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://{IP}:8501 | Sí | Es la raíz de la API de la instancia de LogRhythm. |
| Token de API | Contraseña | N/A | Sí | Es el token de la API de LogRhythm. |
| Archivo del certificado de CA | String | N/A | No | Archivo de certificado de CA codificado en Base64. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de LogRhythm sea válido. |
Sincronizar alarmas cerradas
Descripción
Este trabajo sincroniza las alarmas cerradas de LogRhythm y las alertas de SecOps de Google.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Raíz de la API | String | https://{IP}:8501 | Sí | Es la raíz de la API de la instancia de LogRhythm. |
| Token de API | Contraseña | N/A | Sí | Es el token de la API de LogRhythm. |
| Archivo del certificado de CA | String | N/A | No | Archivo de certificado de CA codificado en Base64. |
| Horas máximas hacia atrás | Número entero | 24 | No | Especifica la cantidad de horas hacia atrás para sincronizar los estados. |
| Verificar SSL | Casilla de verificación | Marcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de LogRhythm sea válido. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.