Devo
Versi integrasi: 8.0
Izin Produk
Devo menyediakan beberapa metode autentikasi yang dijelaskan dalam dokumen Kredensial keamanan yang tersedia dalam dokumentasi Devo.
Integrasi Google Security Operations mendukung token autentikasi atau kunci akses untuk autentikasi.
Sebaiknya konfigurasi autentikasi berbasis token:
- Buka dokumen Token autentikasi yang tersedia dalam dokumentasi Devo.
- Ikuti langkah-langkah tentang cara membuat token. Pada langkah 3, pilih Kueri data menggunakan REST API.
- Pada langkah 4, untuk tabel target, tentukan "siem.logtrust.alert.info".
Selesaikan proses pembuatan sesuai dengan dokumentasi untuk mendapatkan token.
API
Untuk mengetahui informasi selengkapnya tentang API, lihat dokumen referensi API yang tersedia dalam dokumentasi Devo.
Mengonfigurasi integrasi Devo di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| URL API | String | https://apiv2-us.devo.com | Ya | Tentukan root API untuk instance Devo target. |
| Token API | Sandi | T/A | Tidak | Jika autentikasi berbasis token digunakan, tentukan token API untuk instance Devo target. Jika Token dan Kunci Akses diberikan, integrasi akan berfungsi di token API dan mengabaikan Kunci Akses. |
| Kunci API | Sandi | T/A | Tidak | Jika autentikasi kunci akses digunakan, tentukan kunci API untuk instance Devo target. |
| Rahasia API | Sandi | T/A | Tidak | Jika autentikasi kunci akses digunakan, tentukan rahasia API untuk instance Devo target. |
| Verifikasi SSL | Kotak centang | Dicentang | Tidak | Jika diaktifkan, server Google SecOps akan memeriksa sertifikat yang dikonfigurasi untuk root API. |
Kasus Penggunaan
- Devo dapat digunakan sebagai sumber pemberitahuan untuk diproses oleh Google SecOps.
- Devo dapat dikueri dari Google SecOps untuk memperkaya konteks pemberitahuan Google SecOps.
Tindakan
Ping
Deskripsi
Uji konektivitas ke instance Devo dengan parameter yang diberikan di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace.
Jika "siem.logtrust.alert.info" tidak diberikan untuk token akses yang dibuat, tindakan Ping akan gagal meskipun token valid. Untuk mengetahui informasi selengkapnya, lihat bagian Izin Produk.
Parameter
T/A
Kasus Penggunaan
Tindakan ini digunakan untuk menguji konektivitas di halaman konfigurasi integrasi pada tab Google Security Operations Marketplace, dan dapat dijalankan sebagai tindakan manual, bukan digunakan dalam playbook.
Run On
Tindakan tidak berjalan pada entity, dan tidak memiliki parameter input wajib.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
N/A
Pengayaan Entity
T/A
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: "Successfully connected to the Devo instance with the provided connection parameters!" (Berhasil terhubung ke instance Devo dengan parameter koneksi yang diberikan!) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika tidak berhasil: "Gagal terhubung ke server LogRhythm. Error adalah {0}".format(exception.stacktrace) |
Umum |
Kueri Lanjutan
Deskripsi
Jalankan kueri lanjutan berdasarkan parameter yang diberikan. Perhatikan bahwa tindakan ini tidak berfungsi di entitas Google SecOps. Untuk membuat kueri tabel selain siem.logtrust.alert.info, buat token tambahan untuk tabel tersebut dengan mengikuti dokumen Token autentikasi yang tersedia dalam dokumentasi Devo dan tentukan di halaman konfigurasi integrasi.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Kueri | String | T/A | Ya | Tentukan kueri yang akan dijalankan terhadap instance Devo. Contoh: "from siem.logtrust.alert.info". |
| Jangka Waktu | DDL | Sejam Terakhir Nilai yang Mungkin:
|
Tidak | Tentukan jangka waktu untuk hasil. Jika "Kustom" dipilih, Anda juga perlu memberikan parameter "Waktu Mulai". |
| Waktu Mulai | String | T/A | Tidak | Tentukan waktu mulai untuk kueri. Parameter ini wajib diisi, jika "Kustom" dipilih untuk parameter "Rentang Waktu". Format: ISO 8601 Contoh: 2021-08-05T05:18:42Z |
| Waktu Berakhir | String | T/A | Tidak | Tentukan waktu berakhir kueri. Jika tidak ada yang diberikan dan "Khusus" dipilih untuk parameter "Rentang Waktu", parameter ini akan menggunakan waktu saat ini. Format: ISO 8601 Contoh: 2021-08-05T05:18:42Z |
| Jumlah Baris Maksimum yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah maksimum baris yang harus ditampilkan tindakan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
{
"msg": "",
"timestamp": 1630483519438,
"cid": "01a5d92a25ba",
"status": 0,
"object": [
{
"eventdate": 1619452643049,
"alertHost": "backoffice",
"domain": "siemplify",
"priority": 7.0,
"context": "my.alert.siemplify.500",
"category": "my.context",
"status": 0,
"alertId": "22797077",
"srcIp": null,
"srcPort": null,
"srcHost": "",
"dstIp": null,
"dstPort": null,
"dstHost": "",
"protocol": "",
"username": "user@siemplify.co",
"application": "",
"engine": "pil01-pro-custom-us-aws",
"extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
}
]
}
Pengayaan Entity
T/A
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika setidaknya beberapa data ditemukan (is_success=true): "Berhasil mengambil hasil untuk kueri yang diberikan di Devo." Jika tidak ada hasil yang ditemukan (is_success=false): "No results found for the provided query in Devo." (Tidak ada hasil yang ditemukan untuk kueri yang diberikan di Devo.) Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error dilaporkan dalam kueri: "Error saat menjalankan tindakan "Penelusuran Lanjutan". Alasan: {message}''.format(error.Stacktrace) Jika parameter "Waktu Mulai" kosong dan parameter "Rentang Waktu" disetel ke "Kustom" (gagal): "Error saat menjalankan tindakan "". Alasan: "Waktu Mulai" harus diberikan, jika "Kustom" dipilih dalam parameter "Rentang Waktu"." Jika nilai parameter "Waktu Mulai" lebih besar daripada nilai parameter "Waktu Berakhir" (gagal): "Error saat menjalankan tindakan "". Alasan: "Waktu Berakhir" harus lebih lambat daripada "Waktu Mulai". Jika nilai negatif atau 0 ditetapkan untuk parameter "Baris Maksimum yang Ditampilkan": "Error saat menjalankan tindakan "". Alasan: "Baris Maksimum yang Ditampilkan" harus berupa angka positif, bukan nol." Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Kueri Lanjutan". Alasan: {0}''.format(error.Stacktrace) |
Umum |
| Tabel | Nama Tabel: Hasil Kueri Lanjutan Kolom Tabel: Semua kolom yang ditampilkan dari respons. |
Umum |
Kueri Sederhana
Deskripsi
Jalankan kueri sederhana berdasarkan parameter yang diberikan. Perhatikan bahwa tindakan tidak berfungsi di entitas Google SecOps. Untuk membuat kueri tabel selain siem.logtrust.alert.info, buat token tambahan untuk tabel tersebut dengan mengikuti dokumen Token autentikasi yang tersedia dalam dokumentasi Devo dan tentukan di halaman konfigurasi integrasi.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Tabel | String | siem.logtrust.alert.info | Ya | Tentukan tabel yang harus dikueri. |
| Kolom yang Akan Ditampilkan | CSV | T/A | Tidak | Tentukan kolom yang akan ditampilkan. Jika tidak ada yang diberikan, tindakan akan menampilkan semua kolom. |
| Filter Where | String | T/A | Tidak | Tentukan filter Where untuk kueri yang perlu dijalankan. |
| Jangka Waktu | DDL | Sejam Terakhir Nilai yang Mungkin: Sejam Terakhir 6 Jam Terakhir 24 Jam Terakhir Seminggu Terakhir Sebulan Terakhir Kustom |
Tidak | Tentukan jangka waktu untuk hasil. Jika "Kustom" dipilih, Anda juga perlu memberikan parameter "Waktu Mulai". |
| Waktu Mulai | String | T/A | Tidak | Tentukan waktu mulai untuk kueri. Parameter ini wajib diisi, jika "Kustom" dipilih untuk parameter "Rentang Waktu". Format: ISO 8601 Contoh: 2021-08-05T05:18:42Z |
| Waktu Berakhir | String | T/A | Tidak | Tentukan waktu berakhir kueri. Jika tidak ada yang diberikan dan "Khusus" dipilih untuk parameter "Rentang Waktu", parameter ini akan menggunakan waktu saat ini. Format: ISO 8601 Contoh: 2021-08-05T05:18:42Z |
| Jumlah Baris Maksimum yang Akan Ditampilkan | Bilangan bulat | 50 | Tidak | Tentukan jumlah maksimum baris yang harus ditampilkan tindakan. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success=False |
Hasil JSON
{
"msg": "",
"timestamp": 1630483519438,
"cid": "01a5d92a25ba",
"status": 0,
"object": [
{
"eventdate": 1619452643049,
"alertHost": "backoffice",
"domain": "siemplify",
"priority": 7.0,
"context": "my.alert.siemplify.500",
"category": "my.context",
"status": 0,
"alertId": "22797077",
"srcIp": null,
"srcPort": null,
"srcHost": "",
"dstIp": null,
"dstPort": null,
"dstHost": "",
"protocol": "",
"username": "user@siemplify.co",
"application": "",
"engine": "pil01-pro-custom-us-aws",
"extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
}
]
}
Pengayaan Entity
T/A
Insight
T/A
Repositori Kasus
| Jenis hasil | Nilai/Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika menemukan setidaknya beberapa data (is_success=true): "Berhasil mengambil hasil untuk kueri: "{constructed query}" di Devo." Jika tidak ada hasil yang ditemukan (is_success=false): "No results found for the query {constructed query} in Devo". Tindakan akan gagal dan menghentikan eksekusi playbook: Jika error dilaporkan dalam kueri: "Error saat menjalankan tindakan "Simple Search". Alasan: {message}''.format(error.Stacktrace) Jika parameter "Waktu Mulai" kosong dan parameter "Rentang Waktu" ditetapkan "Kustom" (gagal): "Error saat menjalankan tindakan "". Alasan: "Waktu Mulai" harus diberikan, jika "Kustom" dipilih di parameter "Rentang Waktu"." Jika nilai parameter "Waktu Mulai" lebih besar daripada nilai parameter "Waktu Berakhir" (gagal): "Error saat menjalankan tindakan "". Alasan: "Waktu Berakhir" harus lebih lambat daripada "Waktu Mulai". Jika nilai negatif atau 0 ditetapkan untuk parameter "Baris Maksimum yang Ditampilkan": "Error saat menjalankan tindakan "". Alasan: "Baris Maksimum yang Ditampilkan" harus berupa angka positif, bukan nol." Jika error fatal, seperti kredensial salah, tidak ada koneksi ke server, atau error lainnya dilaporkan: "Error saat menjalankan tindakan "Simple Query". Alasan: {0}''.format(error.Stacktrace) |
Umum |
| Tabel | Nama Tabel: Hasil Kueri Sederhana Kolom Tabel: Semua kolom yang ditampilkan dari respons |
Umum |
Konektor
Konektor Pemberitahuan Devo
Deskripsi
Konektor dapat digunakan untuk mengambil rekaman pemberitahuan dari tabel siem.logtrust.alert.info dari Devo. Daftar yang diizinkan untuk konektor dapat digunakan untuk menyerap hanya jenis pemberitahuan tertentu berdasarkan nilai konteks pemberitahuan.
Mengonfigurasi Konektor Pemberitahuan Devo di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | Devo | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | "konteks" | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
| Nama Kolom Lingkungan | String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
| Pola Regex Lingkungan | String | .* | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| URL API | String | https://apiv2-us.devo.com | Ya | Tentukan URL API untuk instance Devo target. |
| Token API | Sandi | T/A | Tidak | Jika autentikasi berbasis token digunakan, tentukan token API untuk instance Devo target. |
| Kunci API | Sandi | T/A | Tidak | Jika autentikasi kunci akses digunakan, tentukan kunci API untuk instance Devo target. |
| Rahasia API | Sandi | T/A | Tidak | Jika autentikasi kunci akses digunakan, tentukan rahasia API untuk instance Devo target. |
| Verifikasi SSL | Kotak centang | Dicentang | Tidak | Jika diaktifkan, server Google SecOps akan memeriksa sertifikat yang dikonfigurasi untuk root API. |
| Selisih waktu dalam jam | Bilangan bulat | 24 | Ya | Mengambil notifikasi dari X jam sebelumnya. |
| Jumlah Maksimum Pemberitahuan Per Siklus | Bilangan bulat | 30 | Ya | Jumlah pemberitahuan yang harus diproses selama satu kali eksekusi konektor. |
| Prioritas Minimum untuk Mengambil | String | Normal | Ya | Prioritas minimum pemberitahuan yang akan di-ingest ke Google SecOps, misalnya, Rendah atau Sedang. Kemungkinan Nilai: Sangat Rendah, Rendah, Normal, Tinggi, Sangat Tinggi |
| Menggunakan daftar yang diizinkan sebagai daftar blokir | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, daftar yang diizinkan digunakan sebagai daftar yang diblokir. |
Aturan Konektor
Dukungan Proxy
Konektor mendukung Proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.