ArcSight ロガー
統合バージョン: 4.0
ユースケース
このプロダクトは、考えられるすべてのソースからデータを収集できるため、アナリストにとって非常に便利です。この検索機能を使用すると、アナリストはインシデントに関連する情報をクエリできます。これは、トリアージ プロセスで役立ちます。
Chronicle SOAR で ArcSight Logger の統合を構成する
Chronicle SOAR で統合を構成する方法の詳細については、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合の構成を意図するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| サーバー アドレス | 文字列 | https://<host>:<port> | ○ | ArcSight Logger インスタンスのサーバー アドレス。 |
| ユーザー名 | 文字列 | なし | ○ | ArcSight Logger アカウントのユーザー名。 |
| パスワード | パスワード | なし | ○ | ArcSight Logger アカウントのパスワード。 |
| SSL を確認 | チェックボックス | オフ | いいえ | 有効になっている場合は、ArcSight Logger サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
アクション
Ping
説明
[Chronicle Marketplace] タブの統合構成ページで提供されているパラメータを使用して、ArcSight Logger への接続をテストします。
パラメータ
なし
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | VALUEオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 エラーがなく、データが返された場合: 「指定された接続パラメータで ArcSight Logger に正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 エラーが報告された場合: 「アクション「Ping」の実行中にエラーが発生しました。理由: {0}''.format(error.Stacktrace) |
一般 |
送信クエリ
説明
クエリを送信して、ArcSight Logger イベントログ マネージャーから関連するイベントに関する情報を取得します。
パラメータ
| パラメータ名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| クエリ | 文字列 | "" | ○ | ArcSight Logger イベント検索に送信するクエリを指定します。 |
| 返される最大イベント数 | 整数 | 100 | いいえ | 返すイベントの数を指定します。 上限 は 10,000 これは ArcSight Logger の制限です。 |
| 期間 | 文字列 | 1 時間 | いいえ | イベントを取得する期間を指定します。 有効な値: 1 時間~ 1 時間前 1 日~ 1 日前 注: 異なる値を組み合わせることはできません(1d2h30m など)。 |
| 取得するフィールド | カンマ区切り | なし | いいえ | ArcSight Logger から取得するフィールドを指定します。何も指定しないと、使用可能なフィールドがすべて返されます。 |
| 未加工イベントデータを含める | チェックボックス | オン | いいえ | 有効にすると、元のイベントデータがレスポンスに含まれます。 |
| ローカル検索のみ | チェックボックス | オフ | いいえ | ArcSight Logger イベント検索がローカルのみであり、ArcSight Logger ピアは含まれません。イベント検索に類似アプリを含める場合は false に設定します。 |
| フィールドを検出 | チェックボックス | オン | いいえ | ArcSight Logger 検索で、見つかったイベント内のフィールドの検出を試行することを示します。 |
| 並べ替え | 文字列 | 昇順 | いいえ | 使用する並べ替え方法を指定します。 値は次のいずれかです。 昇順 降順 |
実行
このアクションはエンティティでは実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | VALUEオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果:
{
"fields": [
{
"name": "_rowId",
"type": "string",
"alias": "_rowId"
},
{
"name": "_raw",
"type": "string",
"alias": "_raw"
},
{
"name": "Event Time",
"type": "date",
"alias": "Event Time"
},
{
"name": "Logger",
"type": "string",
"alias": "Logger"
},
{
"name": "Device",
"type": "string",
"alias": "Device"
},
{
"name": "Receipt Time",
"type": "date",
"alias": "Receipt Time"
},
{
"name": "deviceReceiptTime",
"type": "date",
"alias": "deviceReceiptTime"
},
{
"name": "deviceCustomString2",
"type": "string",
"alias": "deviceCustomString2"
},
{
"name": "destinationAddress",
"type": "string",
"alias": "destinationAddress"
},
{
"name": "deviceCustomNumber3Label",
"type": "string",
"alias": "deviceCustomNumber3Label"
},
{
"name": "globalEventId",
"type": "number",
"alias": "globalEventId"
},
{
"name": "deviceVersion",
"type": "string",
"alias": "deviceVersion"
},
{
"name": "name",
"type": "string",
"alias": "name"
},
{
"name": "deviceAddress",
"type": "string",
"alias": "deviceAddress"
},
{
"name": "deviceVendor",
"type": "string",
"alias": "deviceVendor"
},
{
"name": "Version",
"type": "string",
"alias": "Version"
},
{
"name": "deviceCustomNumber1Label",
"type": "string",
"alias": "deviceCustomNumber1Label"
},
{
"name": "deviceEventCategory",
"type": "string",
"alias": "deviceEventCategory"
},
{
"name": "endTime",
"type": "date",
"alias": "endTime"
},
{
"name": "fileName",
"type": "string",
"alias": "fileName"
},
{
"name": "deviceCustomNumber2",
"type": "number",
"alias": "deviceCustomNumber2"
},
{
"name": "deviceCustomNumber1",
"type": "number",
"alias": "deviceCustomNumber1"
},
{
"name": "baseEventCount",
"type": "number",
"alias": "baseEventCount"
},
{
"name": "startTime",
"type": "date",
"alias": "startTime"
},
{
"name": "deviceCustomNumber3",
"type": "number",
"alias": "deviceCustomNumber3"
},
{
"name": "agentSeverity",
"type": "string",
"alias": "agentSeverity"
},
{
"name": "fsize",
"type": "string",
"alias": "fsize"
},
{
"name": "deviceProduct",
"type": "string",
"alias": "deviceProduct"
},
{
"name": "deviceEventClassId",
"type": "string",
"alias": "deviceEventClassId"
},
{
"name": "deviceCustomNumber2Label",
"type": "string",
"alias": "deviceCustomNumber2Label"
},
{
"name": "deviceCustomString2Label",
"type": "string",
"alias": "deviceCustomString2Label"
},
{
"name": "fileType",
"type": "string",
"alias": "fileType"
}
],
"results": [
[
"4BFEFD-86@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=15 cn1Label=Percent Used cn2=180 cn2Label=retention period (days) cn3=2048 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Default Storage Group fsize=13 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Default Storage Group",
180,
15,
1,
1585661238546,
2048,
"1",
"13",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
],
[
"4BFEFD-87@Local",
"CEF:0|ArcSight|Logger|7.0.0.8280.0|storagegroup:100|Storage Group Space Used|1| cat=/Monitor/StorageGroup/Space/Used cn1=33 cn1Label=Percent Used cn2=365 cn2Label=retention period (days) cn3=1024 cn3Label=used (MB) cs2=CurrentValue cs2Label=timeframe dst=10.0.2.185 dvc=10.0.2.185 end=1585661238546 fileType=storageGroup fname=Internal Event Storage Group fsize=3 geid=0 rt=1585661238546",
1585661238546,
"Local",
"Logger",
1585661364960,
1585661238546,
"CurrentValue",
"10.0.2.185",
"used (MB)",
0,
"7.0.0.8280.0",
"Storage Group Space Used",
"10.0.2.185",
"ArcSight",
"0",
"Percent Used",
"/Monitor/StorageGroup/Space/Used",
1585661238546,
"Internal Event Storage Group",
365,
33,
1,
1585661238546,
1024,
"1",
"3",
"Logger",
"storagegroup:100",
"retention period (days)",
"timeframe",
"storageGroup"
]
]
}
ケースウォール
| 結果のタイプ | 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 >ステータスが「completed」に設定され、ヒットがゼロより大きい場合: 「Successfully returned events for query "{0}" from the ArcSight Logger".format(query)」 ステータスが「completed」に設定され、ヒットが 0 に設定されている場合:(is_success == false): 「ArcSight Logger」.format(query) 内のクエリ「{0}」に対するイベントが見つかりませんでした。 >ステータスがエラーに設定されている場合: "Unable to run query "{0}" in ArcSight Logger".format(query). 最初のリクエストでステータス コードが 409 の場合: ArcSight Logger で「{0}」クエリを実行できません。理由: {1}".format(query, errors/message from first response)) 非同期出力メッセージ: 「Starting processing query {0} in ArcSight Logger」.format(query) アクションが失敗し、ハンドブックの実行が停止します。 致命的なエラー(認証情報の誤り、接続エラー、アクションのクラッシュ)が報告された場合: 「アクション「Send Query」の実行中にエラーが発生しました。理由: {0}''.format(error.Stacktrace) |
一般 |
| Table | テーブル名: {Query} Columns:レスポンスで使用可能なすべての列です。詳細については、アクションの動作のセクションをご覧ください。 |
一般 |