Devo
Versión de integración: 8.0
Permiso del producto
Devo proporciona varios métodos de autenticación que se describen en el documento Credenciales de seguridad disponible en la documentación de Devo.
La integración de Google Security Operations admite tokens de autenticación o claves de acceso para la autenticación.
Se recomienda configurar la autenticación basada en tokens:
- Consulta el documento Authentication tokens disponible en la documentación de Devo.
- Sigue los pasos para crear un token. En el paso 3, selecciona Consultar datos con la API de REST.
- En el paso 4, para la tabla de destino, especifica "siem.logtrust.alert.info".
Finaliza el proceso de creación según la documentación para obtener un token.
API
Para obtener más información sobre la API, consulta el documento de referencia de la API disponible en la documentación de Devo.
Configura la integración de Devo en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| URL de API | String | https://apiv2-us.devo.com | Sí | Especifica la raíz de la API para la instancia de Devo de destino. |
| Token de API | Contraseña | N/A | No | Si se usa una autenticación basada en tokens, especifica el token de API para la instancia de Devo de destino. Si se proporcionan tanto el token como las claves de acceso, la integración funciona con el token de API y se ignoran las claves de acceso. |
| Clave de API | Contraseña | N/A | No | Si se usa la autenticación con claves de acceso, especifica la clave de API para la instancia de Devo de destino. |
| Secreto de API | Contraseña | N/A | No | Si se usa la autenticación con claves de acceso, especifica el secreto de la API para la instancia de Devo de destino. |
| Verificar SSL | Casilla de verificación | Marcado | No | Si está habilitado, el servidor de Google SecOps verifica el certificado configurado para la raíz de la API. |
Casos de uso
- Devo se puede usar como fuente de alertas para que Google SecOps las procese.
- Se puede consultar Devo desde Google SecOps para enriquecer el contexto de las alertas de Google SecOps.
Acciones
Ping
Descripción
Prueba la conectividad a la instancia de Devo con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Si no se otorga "siem.logtrust.alert.info" para el token de acceso generado, la acción de ping falla incluso si el token es válido. Para obtener más información, consulta la sección Permiso del producto.
Parámetros
N/A
Caso de uso
La acción se usa para probar la conectividad en la página de configuración de la integración en la pestaña Google Security Operations Marketplace y se puede ejecutar como una acción manual, no se usa en los cuadernos de estrategias.
Ejecutar en
La acción no se ejecuta en entidades ni tiene parámetros de entrada obligatorios.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
N/A
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se ejecuta correctamente: "Successfully connected to the Devo instance with the provided connection parameters!" La acción debería fallar y detener la ejecución de la guía: Si no se pudo establecer la conexión, aparecerá el mensaje "No se pudo conectar al servidor de LogRhythm". Error is {0}".format(exception.stacktrace) |
General |
Consulta avanzada
Descripción
Ejecuta una consulta avanzada basada en los parámetros proporcionados. Ten en cuenta que la acción no funciona en las entidades de SecOps de Google. Para consultar una tabla que no sea siem.logtrust.alert.info, crea un token adicional para esa tabla siguiendo el documento Tokens de autenticación disponible en la documentación de Devo y especifícalo en la página de configuración de la integración.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Consulta | String | N/A | Sí | Especifica una consulta para ejecutarla en la instancia de Devo. Ejemplo: "from siem.logtrust.alert.info". |
| Período | DDL | Última hora Valores posibles:
|
No | Especifica un período para los resultados. Si se selecciona "Personalizado", también debes proporcionar el parámetro "Hora de inicio". |
| Hora de inicio | String | N/A | No | Especifica la hora de inicio de la búsqueda. Este parámetro es obligatorio si se selecciona "Personalizado" para el parámetro "Período". Formato: ISO 8601 Ejemplo: 2021-08-05T05:18:42Z |
| Hora de finalización | String | N/A | No | Especifica la hora de finalización de la búsqueda. Si no se proporciona nada y se selecciona "Personalizado" para el parámetro "Período", este parámetro usa la hora actual. Formato: ISO 8601 Ejemplo: 2021-08-05T05:18:42Z |
| Cantidad máxima de filas que se devolverán | Número entero | 50 | No | Especifica la cantidad máxima de filas que debe devolver la acción. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"msg": "",
"timestamp": 1630483519438,
"cid": "01a5d92a25ba",
"status": 0,
"object": [
{
"eventdate": 1619452643049,
"alertHost": "backoffice",
"domain": "siemplify",
"priority": 7.0,
"context": "my.alert.siemplify.500",
"category": "my.context",
"status": 0,
"alertId": "22797077",
"srcIp": null,
"srcPort": null,
"srcHost": "",
"dstIp": null,
"dstPort": null,
"dstHost": "",
"protocol": "",
"username": "user@siemplify.co",
"application": "",
"engine": "pil01-pro-custom-us-aws",
"extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
}
]
}
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se encontraron al menos algunos datos (is_success=true): "Se recuperaron correctamente los resultados de la búsqueda proporcionada en Devo". Si no se encuentran resultados (is_success=false): "No se encontraron resultados para la búsqueda proporcionada en Devo". La acción debería fallar y detener la ejecución de la guía: Si se informan errores en la búsqueda, se mostrará el mensaje "Error al ejecutar la acción "Búsqueda avanzada"". Reason: {message}''.format(error.Stacktrace) Si el parámetro "Fecha y hora de inicio" está vacío y el parámetro "Período" está establecido como "Personalizado" (falla): "Error al ejecutar la acción "". Motivo: Se debe proporcionar "Fecha y hora de inicio" cuando se selecciona "Personalizado" en el parámetro "Período"." Si el valor del parámetro "Hora de inicio" es mayor que el valor del parámetro "Hora de finalización" (falla): "Error al ejecutar la acción "". Motivo: "Hora de finalización" debe ser posterior a "Hora de inicio". Si se establece un valor negativo o 0 para el parámetro "Max Rows to Return": "Error executing action "". Reason: "Max Rows to Return" should be positive, non-zero number." Si se informa un error no recuperable, como credenciales incorrectas, falta de conexión con el servidor o algún otro error, se mostrará el mensaje "Error al ejecutar la acción "Consulta avanzada". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla | Nombre de la tabla: Resultados de la consulta avanzada Columnas de la tabla: Son todas las columnas que se muestran en la respuesta. |
General |
Consulta simple
Descripción
Ejecuta una consulta simple basada en los parámetros proporcionados. Ten en cuenta que la acción no funciona en las entidades de Google SecOps. Para consultar una tabla que no sea siem.logtrust.alert.info, crea un token adicional para esa tabla siguiendo el documento Tokens de autenticación disponible en la documentación de Devo y especifícalo en la página de configuración de la integración.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre de la tabla | String | siem.logtrust.alert.info | Sí | Especifica la tabla que se debe consultar. |
| Campos que se devolverán | CSV | N/A | No | Especifica los campos que se devolverán. Si no se proporciona nada, la acción devuelve todos los campos. |
| Cláusula WHERE del filtro | String | N/A | No | Especifica el filtro Where para la consulta que se debe ejecutar. |
| Período | DDL | Última hora Valores posibles: Última hora Últimas 6 horas Últimas 24 horas Última semana Último mes Personalizado |
No | Especifica un período para los resultados. Si se selecciona "Personalizado", también debes proporcionar el parámetro "Hora de inicio". |
| Hora de inicio | String | N/A | No | Especifica la hora de inicio de la búsqueda. Este parámetro es obligatorio si se selecciona "Personalizado" para el parámetro "Período". Formato: ISO 8601 Ejemplo: 2021-08-05T05:18:42Z |
| Hora de finalización | String | N/A | No | Especifica la hora de finalización de la búsqueda. Si no se proporciona nada y se selecciona "Personalizado" para el parámetro "Período", este parámetro usa la hora actual. Formato: ISO 8601. Ejemplo: 2021-08-05T05:18:42Z |
| Cantidad máxima de filas que se devolverán | Número entero | 50 | No | Especifica la cantidad máxima de filas que debe devolver la acción. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success=False |
Resultado de JSON
{
"msg": "",
"timestamp": 1630483519438,
"cid": "01a5d92a25ba",
"status": 0,
"object": [
{
"eventdate": 1619452643049,
"alertHost": "backoffice",
"domain": "siemplify",
"priority": 7.0,
"context": "my.alert.siemplify.500",
"category": "my.context",
"status": 0,
"alertId": "22797077",
"srcIp": null,
"srcPort": null,
"srcHost": "",
"dstIp": null,
"dstPort": null,
"dstHost": "",
"protocol": "",
"username": "user@siemplify.co",
"application": "",
"engine": "pil01-pro-custom-us-aws",
"extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
}
]
}
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Muro de casos
| Tipo de resultado | Valor/Descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se encontraron algunos datos (is_success=true): "Se recuperaron correctamente los resultados de la búsqueda: "{constructed query}" en Devo". Si no se encuentran resultados (is_success=false): "No se encontraron resultados para la búsqueda {búsqueda construida} en Devo". La acción debería fallar y detener la ejecución de la guía: Si se informan errores en la búsqueda: "Error al ejecutar la acción "Búsqueda simple". Reason: {message}''.format(error.Stacktrace) Si el parámetro "Hora de inicio" está vacío y el parámetro "Período" está establecido como "Personalizado" (falla): "Error al ejecutar la acción "". Motivo: Se debe proporcionar la "Hora de inicio" cuando se selecciona "Personalizado" en el parámetro "Período"." Si el valor del parámetro "Hora de inicio" es mayor que el valor del parámetro "Hora de finalización" (falla): "Error al ejecutar la acción "". Motivo: "La hora de finalización" debe ser posterior a "La hora de inicio". Si se establece un valor negativo o 0 para el parámetro "Max Rows to Return", se muestra el siguiente mensaje: "Error executing action "". Reason: "Max Rows to Return" should be positive, non-zero number." Si se informa un error fatal, como credenciales incorrectas, falta de conexión con el servidor o algún otro, se mostrará el mensaje "Error al ejecutar la acción "Consulta simple". Reason: {0}''.format(error.Stacktrace) |
General |
| Tabla | Nombre de la tabla: Resultados de la consulta simple Columnas de la tabla: Todas las columnas que se muestran en la respuesta |
General |
Conectores
Conector de alertas de Devo
Descripción
El conector se puede usar para recuperar registros de alertas de la tabla siem.logtrust.alert.info de Devo. La lista de entidades permitidas del conector se puede usar para transferir solo tipos específicos de alertas según el valor del contexto de la alerta.
Configura el conector de alertas de Devo en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Devo | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | "context" | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
| Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| URL de API | String | https://apiv2-us.devo.com | Sí | Especifica la URL de la API para la instancia de Devo de destino. |
| Token de API | Contraseña | N/A | No | Si se usa una autenticación basada en tokens, especifica el token de API para la instancia de Devo de destino. |
| Clave de API | Contraseña | N/A | No | Si se usa la autenticación con claves de acceso, especifica la clave de API para la instancia de Devo de destino. |
| Secreto de API | Contraseña | N/A | No | Si se usa la autenticación con claves de acceso, especifica el secreto de la API para la instancia de Devo de destino. |
| Verificar SSL | Casilla de verificación | Marcado | No | Si está habilitado, el servidor de Google SecOps verifica el certificado configurado para la raíz de la API. |
| Tiempo de desfase en horas | Número entero | 24 | Sí | Recupera alertas de X horas hacia atrás. |
| Cantidad máxima de alertas por ciclo | Número entero | 30 | Sí | Cantidad de alertas que se deben procesar durante una ejecución del conector. |
| Prioridad mínima para recuperar | String | Normal | Sí | Es la prioridad mínima de la alerta que se transferirá a Google SecOps, por ejemplo, baja o media. Valores posibles: Muy bajo, Bajo, Normal, Alto, Muy alto |
| Usar la lista blanca como lista negra | Casilla de verificación | Desmarcado | Sí | Si está habilitado, la lista de entidades permitidas se usa como lista de entidades bloqueadas. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.