整合 LevelBlue USM Anywhere 與 Google SecOps

本文說明如何將 LevelBlue Unified Security Management (USM) Anywhere 與 Google Security Operations (Google SecOps) 整合。

整合版本:31.0

LevelBlue USM Anywhere 的網路存取權

從 Google SecOps 存取 LevelBlue USM Anywhere 的 API:允許透過通訊埠 443 (HTTPS) 傳輸流量。

整合參數

請使用下列參數設定整合:

參數名稱 類型 預設值 為必填項目 說明
執行個體名稱 字串 不適用 您要設定整合的執行個體名稱。
說明 字串 不適用 執行個體的說明。
API 根目錄 字串 不適用 LevelBlue USM Anywhere 執行個體的地址。
ClientID 字串 不適用 使用者 ID。
密鑰 密碼 不適用 使用者帳戶的密碼。
產品版本 字串 V2 LevelBlue USM Anywhere 產品版本。
使用 SSL 核取方塊 已勾選 如果選取這個選項,整合服務會在連線至 LevelBlue USM Anywhere 伺服器時驗證 SSL 憑證。
遠端執行 核取方塊 已取消勾選 勾選核取方塊,即可遠端執行設定的整合。選取後,系統會顯示選項,供您選取遠端使用者 (服務專員)。

如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。

如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。

動作

如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。

取得鬧鐘詳細資料

依 ID 擷取鬧鐘的詳細資料。

參數

參數名稱 類型 預設值 為必填項目 說明
鬧鐘 ID 字串 不適用 鬧鐘 ID。可透過執行連接器取得。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果
指令碼結果名稱 值選項 範例
is_success True 或 False is_success:False
案件總覽
結果類型 說明 類型
輸出訊息*

發生錯誤時:「Failed to get details about AlienVault Anywhere alarm! Error is {}. action should fail."

動作通過: 「Successfully returned AlienVault Anywhere alarm {} details」(已成功傳回 AlienVault Anywhere 警報 {} 詳細資料)

當產品版本參數設為 V1 時: 「動作應會失敗,並顯示 V2 支援的明確訊息。」

 一般
CSV 表格

欄:

  • ID
  • 優先順序
  • 發生時間
  • 接收時間
  • 來源
  • 原始碼的整理方式
  • 來源國家/地區
  • 目的地
  • 規則攻擊 ID
  • 規則策略
  • 規則 ID
  • Rule Attack Tactic
  • 規則攻擊技術
  • 規則意圖
 一般

列出事件

搜尋 AlienVault 事件。

參數

參數名稱 類型 預設值 為必填項目 說明
鬧鐘數量上限 字串 不適用 要傳回的鬧鐘數量上限。
帳戶名稱 字串 不適用 帳戶名稱。
事件名稱 字串 不適用 活動名稱。
開始時間 字串 不適用

篩選結果會包含這個時間戳記之後發生的事件。

格式:「%d/%m/%Y」
結束時間 字串 不適用

篩選結果會包含發生於這個時間戳記之前的事件。

格式:「%d/%m/%Y」
受限 核取方塊 不適用 是否要依據遭抑制的旗標篩選事件。
來源名稱 字串 不適用 來源名稱。

執行日期

這項操作不會對實體執行。

動作結果

指令碼結果
指令碼結果名稱 值選項 範例
is_success True 或 False is_success:False
JSON 結果
{
    "rep_device_fqdn": "192.0.2.30",
    "sorce_name": "192.0.2.30",
    "tag": "pdate-esp-kernelmodle.sh",
    "timestamp_occred": "1596541223000",
    "destination_address": "198.51.100.130",
    "rep_dev_canonical": "192.0.2.30",
    "destination_name": "198.51.100.130",
    "received_from": "Centos7-001",
    "timestamp_occred_iso8601": "2020-08-04T11:40:23.000Z",
    "id": "f52dd545-ff14-5576-3b70-47f10f528f53",
    "needs_enrichment": True,
    "rep_device_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received": "1596541223152",
    "sorce_canonical": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "destination_fqdn": "198.51.100.130",
    "_links": {
        "self": {
            "href": "URL"
        }
    },
    "has_alarm": False,
    "rep_device_address": "192.0.2.30",
    "event_name": "pdate-esp-kernelmodle.sh event",
    "sed_hint": False,
    "transient": False,
    "packet_type": "log",
    "was_fzzied": True,
    "sppressed": False,
    "log": "<13>Ag  4 14:40:23 Centos7-001 pdate-esp-kernelmodle.sh: McAfeeESPFileAccess installed in this system is - 198.51.100.130",
    "sorce_asset_id": "256fa9b1-a066-c9eb-561a-c2110035978a",
    "timestamp_received_iso8601": "2020-08-04T11:40:23.152Z",
    "destination_canonical": "198.51.100.130",
    "time_offset": "Z"
}
案件總覽
結果類型 說明 類型
輸出訊息*

發生一般錯誤時:「Action didn't complete due to error: {error}」,結果值應設為 false,且動作應失敗。

如果動作順利完成:「Successfully returned {len(events)} AlienVault Anywhere events」(已成功傳回 {len(events)} 個 AlienVault Anywhere 事件)

如果動作無法執行:「Failed to list Endgame AlienVault Anywhere events!」

當產品版本參數設為 V1 時:「動作應會失敗,並顯示 V2 支援的明確訊息。」

 一般
CSV 表格

表格標題:活動

資料表資料欄:

  • ID
  • 名稱
  • 發生時間
  • 接收時間
  • 受限
  • 嚴重性
  • 類別
  • 子類別
  • 存取權控管結果
  • 目的地
  • Destination Port
  • 來源
  • 來源通訊埠

值:

  1. id= uuid
  2. name = event_name
  3. Occurred Time=timestamp_occurred_iso8601
  4. Received Time=timestamp_received_iso8601
  5. 受限 =受限
  6. 嚴重性 = event_severity
  7. 類別 = event_category
  8. 子類別 = event_subcategory
  9. 存取控制結果 = access_control_outcome
  10. Destination = destination_name
  11. 目的地通訊埠 = destination_port
  12. 來源 = source_name
  13. 來源通訊埠= source_port
 一般

乒乓

測試連線。

參數

不適用

執行日期

這項操作會對所有實體執行。

動作結果

指令碼結果
指令碼結果名稱 值選項 範例
成功 True 或 False success:False

連接器

如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。

AlienVault USM Anywhere 連接器

Google SecOps 會以近乎即時的方式從 LevelBlue USM Anywhere 擷取警報,並轉送為案件的快訊。

連接器參數

請使用下列參數設定連接器:

參數名稱 類型 預設值 為必填項目 說明
環境 DDL 不適用

選取所需環境。例如「Customer One」。

如果快訊的「環境」欄位空白,系統就會將快訊插入這個環境。
執行頻率 整數 0:0:0:10 選取執行連線的時間。
產品欄位名稱 字串 device_product 用來判斷裝置產品的欄位名稱。
事件欄位名稱 字串 event_name

決定事件名稱 (子類型) 的欄位名稱。
最多可回溯的天數 整數 1 在第一個連接器疊代之前,要擷取快訊的天數。

這個參數可套用至首次啟用連接器後的初始連接器疊代,或套用至過期連接器時間戳記的回溯值。
每個週期最多可發出的快訊數 整數 10

每個連接器週期中要擷取的警報數量上限。

限制每個週期內的快訊數量。
驗證 SSL 核取方塊 已取消勾選 如果選取這個選項,整合服務會在連線至 LevelBlue USM Anywhere 伺服器時驗證 SSL 憑證。
產品版本 字串 V2 AlienVault Anywhere 版本 - V1、V2。
密鑰 密碼 不適用 相應使用者的密碼。
ClientID 字串 不適用 使用者 ID。
API 根目錄 字串 不適用 範例:https://<instance>.alienvault.com
指令碼逾時 (秒) 字串 60

執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。
Proxy 使用者名稱 字串 不適用 用於驗證的 Proxy 使用者名稱。
Proxy 密碼 密碼 不適用 用於驗證的 Proxy 密碼。
Proxy 伺服器位址 字串 不適用 要使用的 Proxy 伺服器位址。
規則方法 字串 不適用 依規則方法篩選警報。這個方法會提供攻擊目標和特定安全漏洞的額外詳細資料。範例:Firefox - CVE-2008-4064
規則策略 字串 不適用 觸發警報的規則策略。舉例來說,如果攻擊者嘗試利用網頁瀏覽器中的已知安全漏洞,請使用「Client-Side Attack - Known Vulnerability」。
規則意圖 字串 不適用 依鬧鐘用途篩選鬧鐘。意圖說明觀察到的行為情境。威脅類別包括:系統遭入侵、漏洞利用和安裝、傳送和攻擊、偵查和探查、環境意識。
優先順序 字串 不適用 依警報優先順序篩選,以半形逗號分隔。有效值:高/中/低
使用已停用篩選器 核取方塊 已取消勾選 這個參數會用於判斷是否要使用「顯示已停用」篩選器,篩除傳入的快訊。
顯示受抑制的項目 核取方塊 已勾選 是否要在搜尋中納入已停用的警報。
緩衝期 整數 0 連接器執行的緩衝時間 (以小時為單位)。

AlienVault USM Anywhere 連接器有兩個參數,可根據警報的 suppressed 屬性,智慧篩選要擷取到 Google SecOps 的警報:

  • 使用已停用篩選器:這個參數會決定是否使用 Show Suppressed 篩選器篩選傳入的快訊。

  • 顯示已停用:這個參數會決定是否要在搜尋中納入已停用的警報。這個連結器提供三種選項:

    1. 匯入所有 AV 警報,包括已停用和未停用的警報 - 清除兩個方塊。
    2. 只匯入 AV 系統中未停用的警報 - 選取 Use Suppressed Filter 方塊並清除 Show Suppressed 方塊。
    3. 只匯入 AV 系統中已停用的警報,其他一律不匯入 - 選取 Use Suppressed FilterShow Suppressed 方塊。這是預設選項。

如要進一步瞭解 AlienVault 中的警報抑制功能,請參閱「從警報頁面建立抑制規則」。

連接器規則

連接器支援 Proxy。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。