Devo
Versión de la integración: 8.0
Permiso de producto
Devo ofrece varios métodos de autenticación que se describen en el documento Credenciales de seguridad de la documentación de Devo.
La integración de Google Security Operations admite tokens de autenticación o claves de acceso para la autenticación.
Te recomendamos que configures la autenticación basada en tokens:
- Ve al documento Tokens de autenticación disponible en la documentación de Devo.
- Sigue los pasos para crear un token. En el paso 3, selecciona Consultar datos con la API REST.
- En el paso 4, en la tabla de destino, especifica "siem.logtrust.alert.info".
Completa el proceso de creación según la documentación para obtener un token.
API
Para obtener más información sobre la API, consulta el documento de referencia de la API disponible en la documentación de Devo.
Configurar la integración de Devo en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| URL de API | Cadena | https://apiv2-us.devo.com | Sí | Especifica la raíz de la API de la instancia de Devo de destino. |
| Token de API | Contraseña | N/A | No | Si se usa la autenticación basada en tokens, especifica el token de API de la instancia de Devo de destino. Si se proporcionan tanto el token como las claves de acceso, la integración funciona con el token de API e ignora las claves de acceso. |
| Clave de API | Contraseña | N/A | No | Si se usa la autenticación con claves de acceso, especifica la clave de API de la instancia de Devo de destino. |
| Secreto de API | Contraseña | N/A | No | Si se usa la autenticación con claves de acceso, especifica el secreto de la API de la instancia de Devo de destino. |
| Verificar SSL | Casilla | Marcada | No | Si está habilitada, el servidor de Google SecOps comprueba el certificado configurado para la raíz de la API. |
Casos prácticos
- Devo se puede usar como fuente de alertas para que Google SecOps las procese.
- Se puede consultar Devo desde Google SecOps para enriquecer el contexto de las alertas de Google SecOps.
Acciones
Ping
Descripción
Prueba la conectividad a la instancia de Devo con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Si no se concede "siem.logtrust.alert.info" al token de acceso generado, la acción Ping fallará aunque el token sea válido. Para obtener más información, consulta la sección Permisos de producto.
Parámetros
N/A
Caso práctico
Esta acción se usa para probar la conectividad en la página de configuración de la integración de la pestaña Google Security Operations Marketplace y se puede ejecutar como una acción manual, pero no se usa en guías.
Fecha de ejecución
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si la conexión se realiza correctamente: "Successfully connected to the Devo instance with the provided connection parameters!" ("Se ha conectado correctamente a la instancia de Devo con los parámetros de conexión proporcionados"). La acción debería fallar y detener la ejecución de la guía: Si no se resuelve correctamente: "No se ha podido conectar con el servidor LogRhythm. Error: {0}".format(exception.stacktrace) |
General |
Consulta avanzada
Descripción
Ejecuta una consulta avanzada basada en los parámetros proporcionados. Ten en cuenta que esta acción no funciona en las entidades de Google SecOps. Para consultar una tabla que no sea siem.logtrust.alert.info, crea un token adicional para esa tabla siguiendo el documento Tokens de autenticación disponible en la documentación de Devo y especifícalo en la página de configuración de la integración.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Consulta | Cadena | N/A | Sí | Especifica una consulta que se ejecutará en la instancia de Devo. Ejemplo: "from siem.logtrust.alert.info". |
| Periodo | DDL | Última hora Valores posibles:
|
No | Especifica un periodo para los resultados. Si se selecciona "Personalizado", también debe proporcionar el parámetro "Hora de inicio". |
| Hora de inicio | Cadena | N/A | No | Especifica la hora de inicio de la consulta. Este parámetro es obligatorio si se selecciona "Personalizado" en el parámetro "Periodo". Formato: ISO 8601 Ejemplo: 2021-08-05T05:18:42Z |
| Hora de finalización | Cadena | N/A | No | Especifica la hora de finalización de la consulta. Si no se proporciona ningún valor y se selecciona "Personalizado" en el parámetro "Periodo", este parámetro usará la hora actual. Formato: ISO 8601 Ejemplo: 2021-08-05T05:18:42Z |
| Número máximo de filas que se devolverán | Entero | 50 | No | Especifica el número máximo de filas que debe devolver la acción. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"msg": "",
"timestamp": 1630483519438,
"cid": "01a5d92a25ba",
"status": 0,
"object": [
{
"eventdate": 1619452643049,
"alertHost": "backoffice",
"domain": "siemplify",
"priority": 7.0,
"context": "my.alert.siemplify.500",
"category": "my.context",
"status": 0,
"alertId": "22797077",
"srcIp": null,
"srcPort": null,
"srcHost": "",
"dstIp": null,
"dstPort": null,
"dstHost": "",
"protocol": "",
"username": "user@siemplify.co",
"application": "",
"engine": "pil01-pro-custom-us-aws",
"extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
}
]
}
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se han encontrado algunos datos (is_success=true): "Se han obtenido correctamente los resultados de la consulta proporcionada en Devo". Si no se encuentran resultados (is_success=false): "No se han encontrado resultados para la consulta proporcionada en Devo". La acción debería fallar y detener la ejecución de la guía: Si se informa de errores en la consulta: "Error al ejecutar la acción "Búsqueda avanzada". Motivo: {message}''.format(error.Stacktrace) Si el parámetro "Hora de inicio" está vacío y el parámetro "Periodo" tiene el valor "Personalizado" (error): "Error al ejecutar la acción "". Motivo: se debe proporcionar el valor del parámetro "Hora de inicio" cuando se selecciona "Personalizado" en el parámetro "Periodo"." Si el valor del parámetro "Hora de inicio" es mayor que el del parámetro "Hora de finalización" (error): "Error al ejecutar la acción "". Motivo: "Hora de finalización" debe ser posterior a "Hora de inicio". Si se asigna un valor negativo o 0 al parámetro "Número máximo de filas que se devolverán": "Error al ejecutar la acción "". Motivo: "Número máximo de filas que se devolverán" debe ser un número positivo distinto de cero". Si se informa de un error grave, como credenciales incorrectas, no hay conexión con el servidor u otro error: "Error al ejecutar la acción "Consulta avanzada". Motivo: {0}''.format(error.Stacktrace) |
General |
| Tabla | Nombre de la tabla: Resultados de consultas avanzadas Columnas de tabla: Todas las columnas devueltas en la respuesta. |
General |
Consulta simple
Descripción
Ejecuta una consulta sencilla basada en los parámetros proporcionados. Ten en cuenta que esta acción no funciona en las entidades de Google SecOps. Para consultar una tabla que no sea siem.logtrust.alert.info, crea un token adicional para esa tabla siguiendo el documento Tokens de autenticación disponible en la documentación de Devo y especifícalo en la página de configuración de la integración.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la tabla | Cadena | siem.logtrust.alert.info | Sí | Especifica la tabla que se debe consultar. |
| Campos que se van a devolver | CSV | N/A | No | Especifica los campos que se devolverán. Si no se proporciona nada, la acción devuelve todos los campos. |
| Where Filter | Cadena | N/A | No | Especifica el filtro Where de la consulta que se debe ejecutar. |
| Periodo | DDL | Última hora Valores posibles: Última hora Últimas 6 horas Últimas 24 horas La semana pasada El mes pasado Personalizado |
No | Especifica un periodo para los resultados. Si se selecciona "Personalizado", también debe proporcionar el parámetro "Hora de inicio". |
| Hora de inicio | Cadena | N/A | No | Especifica la hora de inicio de la consulta. Este parámetro es obligatorio si se selecciona "Personalizado" en el parámetro "Periodo". Formato: ISO 8601 Ejemplo: 2021-08-05T05:18:42Z |
| Hora de finalización | Cadena | N/A | No | Especifica la hora de finalización de la consulta. Si no se proporciona ningún valor y se selecciona "Personalizado" en el parámetro "Periodo", este parámetro usará la hora actual. Formato: ISO 8601 Ejemplo: 2021-08-05T05:18:42Z |
| Número máximo de filas que se devolverán | Entero | 50 | No | Especifica el número máximo de filas que debe devolver la acción. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"msg": "",
"timestamp": 1630483519438,
"cid": "01a5d92a25ba",
"status": 0,
"object": [
{
"eventdate": 1619452643049,
"alertHost": "backoffice",
"domain": "siemplify",
"priority": 7.0,
"context": "my.alert.siemplify.500",
"category": "my.context",
"status": 0,
"alertId": "22797077",
"srcIp": null,
"srcPort": null,
"srcHost": "",
"dstIp": null,
"dstPort": null,
"dstHost": "",
"protocol": "",
"username": "user@siemplify.co",
"application": "",
"engine": "pil01-pro-custom-us-aws",
"extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
}
]
}
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Panel de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se han encontrado algunos datos (is_success=true): "Se han obtenido correctamente los resultados de la consulta "{constructed query}" en Devo". Si no se encuentran resultados (is_success=false): "No se han encontrado resultados para la consulta {constructed query} en Devo". La acción debería fallar y detener la ejecución de la guía: Si se detectan errores en la consulta: "Error al ejecutar la acción "Búsqueda simple". Motivo: {message}''.format(error.Stacktrace) Si el parámetro "Hora de inicio" está vacío y el parámetro "Periodo" tiene el valor "Personalizado" (error): "Error al ejecutar la acción "". Motivo: se debe proporcionar el valor del parámetro "Hora de inicio" cuando se selecciona "Personalizado" en el parámetro "Periodo"." Si el valor del parámetro "Hora de inicio" es mayor que el valor del parámetro "Hora de finalización" (error): "Error al ejecutar la acción "". Motivo: "Hora de finalización" debe ser posterior a "Hora de inicio". Si se asigna un valor negativo o 0 al parámetro "Número máximo de filas que se devolverán": "Error al ejecutar la acción "". Motivo: "Número máximo de filas que se devolverán" debe ser un número positivo distinto de cero". Si se informa de un error grave, como credenciales incorrectas, falta de conexión con el servidor u otro error, se muestra el mensaje "Error al ejecutar la acción "Consulta simple". Motivo: {0}''.format(error.Stacktrace) |
General |
| Tabla | Nombre de la tabla: Simple Query Results Columnas de la tabla: todas las columnas devueltas en la respuesta. |
General |
Conectores
Conector de alertas de Devo
Descripción
El conector se puede usar para obtener registros de alertas de la tabla siem.logtrust.alert.info de Devo. La lista de permitidos de conectores se puede usar para ingerir solo tipos específicos de alertas en función del valor del contexto de la alerta.
Configurar el conector de alertas de Devo en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Devo | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | "context" | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo de entorno mediante lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| URL de API | Cadena | https://apiv2-us.devo.com | Sí | Especifica la URL de la API de la instancia de Devo de destino. |
| Token de API | Contraseña | N/A | No | Si se usa la autenticación basada en tokens, especifica el token de API de la instancia de Devo de destino. |
| Clave de API | Contraseña | N/A | No | Si se usa la autenticación con claves de acceso, especifica la clave de API de la instancia de Devo de destino. |
| Secreto de API | Contraseña | N/A | No | Si se usa la autenticación con claves de acceso, especifica el secreto de la API de la instancia de Devo de destino. |
| Verificar SSL | Casilla | Marcada | No | Si está habilitado, el servidor de Google SecOps comprueba el certificado configurado para la raíz de la API. |
| Diferencia horaria | Entero | 24 | Sí | Obtener alertas de las últimas X horas. |
| Número máximo de alertas por ciclo | Entero | 30 | Sí | Número de alertas que se deben procesar durante una ejecución del conector. |
| Prioridad mínima para obtener | Cadena | Normal | Sí | Prioridad mínima de la alerta que se va a ingerir en Google SecOps. Por ejemplo, Baja o Media. Valores posibles: Muy bajo, Bajo, Normal, Alto y Muy alto |
| Usar la lista blanca como lista negra | Casilla | Desmarcada | Sí | Si se habilita, la lista de permitidos se usa como lista de bloqueo. |
Reglas de conectores
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.