Devo
Version de l'intégration : 8.0
Autorisation du produit
Devo propose plusieurs méthodes d'authentification décrites dans le document Security credentials (Informations d'identification de sécurité) disponible dans la documentation Devo.
L'intégration de Google Security Operations est compatible avec les jetons d'authentification ou les clés d'accès pour l'authentification.
Nous vous recommandons de configurer l'authentification basée sur des jetons :
- Consultez le document Jetons d'authentification disponible dans la documentation Devo.
- Suivez les étapes pour créer un jeton. À l'étape 3, sélectionnez Interroger les données à l'aide de l'API REST.
- À l'étape 4, spécifiez "siem.logtrust.alert.info" pour la table cible.
Suivez la procédure de création décrite dans la documentation pour obtenir un jeton.
API
Pour en savoir plus sur l'API, consultez le document de référence sur l'API disponible dans la documentation Devo.
Configurer l'intégration Devo dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Paramètres d'intégration
Utilisez les paramètres suivants pour configurer l'intégration :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| URL de l'API | Chaîne | https://apiv2-us.devo.com | Oui | Spécifiez la racine de l'API pour l'instance Devo cible. |
| Jeton d'API | Mot de passe | N/A | Non | Si une authentification basée sur un jeton est utilisée, spécifiez le jeton d'API pour l'instance Devo cible. Si le jeton et les clés d'accès sont fournis, l'intégration fonctionne sur le jeton d'API et ignore les clés d'accès. |
| Clé API | Mot de passe | N/A | Non | Si une authentification par clés d'accès est utilisée, spécifiez la clé API pour l'instance Devo cible. |
| Code secret de l'API | Mot de passe | N/A | Non | Si une authentification par clé d'accès est utilisée, spécifiez le secret de l'API pour l'instance Devo cible. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Non | Si elle est activée, le serveur Google SecOps vérifie le certificat configuré pour la racine de l'API. |
Cas d'utilisation
- Devo peut être utilisé comme source d'alertes à traiter par Google SecOps.
- Devo peut être interrogé depuis Google SecOps pour enrichir le contexte des alertes Google SecOps.
Actions
Ping
Description
Testez la connectivité à l'instance Devo avec les paramètres fournis sur la page de configuration de l'intégration dans l'onglet Google Security Operations Marketplace.
Si l'autorisation "siem.logtrust.alert.info" n'est pas accordée pour le jeton d'accès généré, l'action Ping échoue même si le jeton est valide. Pour en savoir plus, consultez la section Autorisation du produit.
Paramètres
N/A
Cas d'utilisation
Cette action permet de tester la connectivité sur la page de configuration de l'intégration dans l'onglet "Google Security Operations Marketplace". Elle peut être exécutée manuellement, mais n'est pas utilisée dans les playbooks.
Exécuter sur
L'action ne s'exécute pas sur les entités et ne comporte pas de paramètres d'entrée obligatoires.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
N/A
Enrichissement d'entités
N/A
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si l'opération réussit : "La connexion à l'instance Devo a bien été établie avec les paramètres de connexion fournis !" L'action doit échouer et arrêter l'exécution d'un playbook : Si l'opération échoue : "Échec de la connexion au serveur LogRhythm ! Error is {0}".format(exception.stacktrace) |
Général |
Requête avancée
Description
Exécutez une requête avancée en fonction des paramètres fournis. Notez que cette action ne fonctionne pas sur les entités Google SecOps. Pour interroger une table autre que siem.logtrust.alert.info, créez un jeton supplémentaire pour cette table en suivant le document Jetons d'authentification disponible dans la documentation Devo et spécifiez-le sur la page de configuration de l'intégration.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Query | Chaîne | N/A | Oui | Spécifiez une requête à exécuter sur l'instance Devo. Exemple : "from siem.logtrust.alert.info". |
| Période | LDD | La dernière heure Valeurs possibles :
|
Non | Spécifiez une période pour les résultats. Si vous sélectionnez "Personnalisé", vous devez également fournir le paramètre "Heure de début". |
| Heure de début | Chaîne | N/A | Non | Spécifiez l'heure de début de la requête. Ce paramètre est obligatoire si l'option "Personnalisé" est sélectionnée pour le paramètre "Période". Format : ISO 8601 Exemple : 2021-08-05T05:18:42Z |
| Heure de fin | Chaîne | N/A | Non | Spécifiez l'heure de fin de la requête. Si aucune valeur n'est fournie et que "Personnalisée" est sélectionné pour le paramètre "Période", ce paramètre utilise l'heure actuelle. Format : ISO 8601 Exemple : 2021-08-05T05:18:42Z |
| Nombre maximal de lignes à renvoyer | Integer | 50 | Non | Spécifiez le nombre maximal de lignes que l'action doit renvoyer. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
{
"msg": "",
"timestamp": 1630483519438,
"cid": "01a5d92a25ba",
"status": 0,
"object": [
{
"eventdate": 1619452643049,
"alertHost": "backoffice",
"domain": "siemplify",
"priority": 7.0,
"context": "my.alert.siemplify.500",
"category": "my.context",
"status": 0,
"alertId": "22797077",
"srcIp": null,
"srcPort": null,
"srcHost": "",
"dstIp": null,
"dstPort": null,
"dstHost": "",
"protocol": "",
"username": "user@siemplify.co",
"application": "",
"engine": "pil01-pro-custom-us-aws",
"extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
}
]
}
Enrichissement d'entités
N/A
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données ont été trouvées (is_success=true) : "Les résultats de la requête fournie dans Devo ont été récupérés." Si aucun résultat n'est trouvé (is_success=false) : "Aucun résultat trouvé pour la requête fournie dans Devo." L'action doit échouer et arrêter l'exécution d'un playbook : Si des erreurs sont signalées dans la requête : "Erreur lors de l'exécution de l'action "Recherche avancée". Motif : {message}''.format(error.Stacktrace) Si le paramètre "Heure de début" est vide et que le paramètre "Période" est défini sur "Personnalisée" (échec) : "Erreur lors de l'exécution de l'action "". Raison : l'heure de début doit être indiquée lorsque "Personnalisée" est sélectionné dans le paramètre "Période"." Si la valeur du paramètre "Heure de début" est supérieure à celle du paramètre "Heure de fin" (échec) : "Erreur lors de l'exécution de l'action "". Raison : "Heure de fin" doit être postérieure à "Heure de début". Si une valeur négative ou 0 est définie pour le paramètre "Nombre maximal de lignes à renvoyer" : "Erreur lors de l'exécution de l'action "". Raison : "Le nombre maximal de lignes à renvoyer doit être un nombre positif non nul." Si une erreur fatale est signalée (par exemple, des identifiants incorrects, l'absence de connexion au serveur ou une autre erreur) : "Erreur lors de l'exécution de l'action "Requête avancée". Raison : {0}''.format(error.Stacktrace) |
Général |
| Table | Nom de la table : résultats de requêtes avancées Colonnes du tableau : Toutes les colonnes renvoyées par la réponse. |
Général |
Requête simple
Description
Exécutez une requête simple en fonction des paramètres fournis. Notez que cette action ne fonctionne pas sur les entités Google SecOps. Pour interroger une table autre que siem.logtrust.alert.info, créez un jeton supplémentaire pour cette table en suivant le document Jetons d'authentification disponible dans la documentation Devo et spécifiez-le sur la page de configuration de l'intégration.
Paramètres
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom de la table | Chaîne | siem.logtrust.alert.info | Oui | Spécifiez la table à interroger. |
| Champs à renvoyer | CSV | N/A | Non | Spécifiez les champs à renvoyer. Si aucune valeur n'est fournie, l'action renvoie tous les champs. |
| Filtre "Où" | Chaîne | N/A | Non | Spécifiez le filtre "Where" pour la requête à exécuter. |
| Période | LDD | La dernière heure Valeurs possibles : La dernière heure Les 6 dernières heures Dernières 24 heures La semaine dernière Le mois dernier Personnalisé |
Non | Spécifiez une période pour les résultats. Si vous sélectionnez "Personnalisé", vous devez également fournir le paramètre "Heure de début". |
| Heure de début | Chaîne | N/A | Non | Spécifiez l'heure de début de la requête. Ce paramètre est obligatoire si l'option "Personnalisé" est sélectionnée pour le paramètre "Période". Format : ISO 8601 Exemple : 2021-08-05T05:18:42Z |
| Heure de fin | Chaîne | N/A | Non | Spécifiez l'heure de fin de la requête. Si aucune valeur n'est fournie et que "Personnalisée" est sélectionné pour le paramètre "Période", ce paramètre utilise l'heure actuelle. Format : ISO 8601 Exemple : 2021-08-05T05:18:42Z |
| Nombre maximal de lignes à renvoyer | Integer | 50 | Non | Spécifiez le nombre maximal de lignes que l'action doit renvoyer. |
Exécuter sur
Cette action ne s'applique pas aux entités.
Résultats de l'action
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success=False |
Résultat JSON
{
"msg": "",
"timestamp": 1630483519438,
"cid": "01a5d92a25ba",
"status": 0,
"object": [
{
"eventdate": 1619452643049,
"alertHost": "backoffice",
"domain": "siemplify",
"priority": 7.0,
"context": "my.alert.siemplify.500",
"category": "my.context",
"status": 0,
"alertId": "22797077",
"srcIp": null,
"srcPort": null,
"srcHost": "",
"dstIp": null,
"dstPort": null,
"dstHost": "",
"protocol": "",
"username": "user@siemplify.co",
"application": "",
"engine": "pil01-pro-custom-us-aws",
"extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
}
]
}
Enrichissement d'entités
N/A
Insights
N/A
Mur des cas
| Type de résultat | Valeur/Description | Type |
|---|---|---|
| Message de sortie* | L'action ne doit pas échouer ni arrêter l'exécution d'un playbook : Si des données ont été trouvées (is_success=true) : "Les résultats de la requête "{requête construite}" ont été récupérés avec succès dans Devo." Si aucun résultat n'est trouvé (is_success=false) : "Aucun résultat trouvé pour la requête {constructed query} dans Devo". L'action doit échouer et arrêter l'exécution d'un playbook : Si des erreurs sont signalées dans la requête : "Erreur lors de l'exécution de l'action "Recherche simple". Motif : {message}''.format(error.Stacktrace) Si le paramètre "Heure de début" est vide et que le paramètre "Période" est défini sur "Personnalisée" (échec) : "Erreur lors de l'exécution de l'action "". Raison : "L'heure de début doit être indiquée lorsque l'option "Personnalisée" est sélectionnée dans le paramètre "Période"." Si la valeur du paramètre "Heure de début" est supérieure à celle du paramètre "Heure de fin" (échec) : "Erreur lors de l'exécution de l'action "". Raison : "Heure de fin" doit être postérieure à "Heure de début". Si une valeur négative ou 0 est définie pour le paramètre "Nombre maximal de lignes à renvoyer", le message d'erreur suivant s'affiche : "Erreur lors de l'exécution de l'action "". Raison : "Le nombre maximal de lignes à renvoyer doit être un nombre positif non nul." Si une erreur fatale est signalée (par exemple, des identifiants incorrects, une absence de connexion au serveur ou autre), le message suivant s'affiche : "Erreur lors de l'exécution de l'action "Requête simple". Raison : {0}''.format(error.Stacktrace) |
Général |
| Table | Nom de la table : résultats de requête simple Colonnes du tableau : toutes les colonnes renvoyées par la réponse |
Général |
Connecteurs
Connecteur d'alertes Devo
Description
Le connecteur peut être utilisé pour extraire les enregistrements d'alertes de la table siem.logtrust.alert.info de Devo. La liste d'autorisation des connecteurs peut être utilisée pour ingérer uniquement certains types d'alertes en fonction de la valeur du contexte d'alerte.
Configurer le connecteur d'alertes Devo dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'un connecteur dans Google SecOps, consultez Configurer le connecteur.
Paramètres du connecteur
Utilisez les paramètres suivants pour configurer le connecteur :
| Nom à afficher du paramètre | Type | Valeur par défaut | Obligatoire | Description |
|---|---|---|---|---|
| Nom du champ de produit | Chaîne | Devo | Oui | Saisissez le nom du champ source pour récupérer le nom du champ produit. |
| Nom du champ d'événement | Chaîne | "context" | Oui | Saisissez le nom du champ source pour récupérer le nom du champ d'événement. |
| Nom du champ "Environnement" | Chaîne | "" | Non | Décrit le nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est introuvable, l'environnement est celui par défaut. |
| Modèle d'expression régulière de l'environnement | Chaîne | .* | Non | Expression régulière à exécuter sur la valeur trouvée dans le champ "Nom du champ d'environnement". La valeur par défaut est ".*" pour tout capturer et renvoyer la valeur inchangée. Permet à l'utilisateur de manipuler le champ "environnement" à l'aide de la logique des expressions régulières. Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, l'environnement par défaut est utilisé comme résultat final. |
| URL de l'API | Chaîne | https://apiv2-us.devo.com | Oui | Spécifiez l'URL de l'API pour l'instance Devo cible. |
| Jeton d'API | Mot de passe | N/A | Non | Si une authentification basée sur un jeton est utilisée, spécifiez le jeton d'API pour l'instance Devo cible. |
| Clé API | Mot de passe | N/A | Non | Si une authentification par clés d'accès est utilisée, spécifiez la clé API pour l'instance Devo cible. |
| Code secret de l'API | Mot de passe | N/A | Non | Si une authentification par clé d'accès est utilisée, spécifiez le secret de l'API pour l'instance Devo cible. |
| Vérifier le protocole SSL | Case à cocher | Cochée | Non | Si cette option est activée, le serveur Google SecOps vérifie le certificat configuré pour la racine de l'API. |
| Décalage horaire en heures | Integer | 24 | Oui | Récupérez les alertes des X dernières heures. |
| Nombre maximal d'alertes par cycle | Integer | 30 | Oui | Nombre d'alertes à traiter lors d'une exécution du connecteur. |
| Priorité minimale pour la récupération | Chaîne | Normal | Oui | Priorité minimale de l'alerte à ingérer dans Google SecOps (par exemple, "Faible" ou "Moyenne"). Valeurs possibles : très faible, faible, normale, élevée, très élevée |
| Utiliser la liste blanche comme liste noire | Case à cocher | Décochée | Oui | Si cette option est activée, la liste blanche est utilisée comme liste noire. |
Règles du connecteur
Assistance de proxy
Le connecteur est compatible avec le proxy.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.