Devo
Versione integrazione: 8.0
Autorizzazione del prodotto
Devo fornisce diversi metodi di autenticazione descritti nel documento Credenziali di sicurezza disponibile nella documentazione di Devo.
L'integrazione di Google Security Operations supporta token di autenticazione o chiavi di accesso per l'autenticazione.
Ti consigliamo di configurare l'autenticazione basata su token:
- Consulta il documento Token di autenticazione disponibile nella documentazione di Devo.
- Segui i passaggi per creare un token. Al passaggio 3, seleziona Esegui query sui dati utilizzando l'API REST.
- Nel passaggio 4, per la tabella di destinazione, specifica "siem.logtrust.alert.info".
Completa la procedura di creazione in base alla documentazione per ottenere un token.
API
Per saperne di più sull'API, consulta il documento Riferimento API disponibile nella documentazione di Devo.
Configura l'integrazione di Devo in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| URL API | Stringa | https://apiv2-us.devo.com | Sì | Specifica la radice dell'API per l'istanza Devo di destinazione. |
| Token API | Password | N/D | No | Se viene utilizzata un'autenticazione basata su token, specifica il token API per l'istanza di destinazione di Devo. Se vengono forniti sia il token che le chiavi di accesso, l'integrazione funziona con il token API e ignora le chiavi di accesso. |
| Chiave API | Password | N/D | No | Se viene utilizzata l'autenticazione con chiavi di accesso, specifica la chiave API per l'istanza Devo di destinazione. |
| API secret | Password | N/D | No | Se viene utilizzata un'autenticazione con chiavi di accesso, specifica il segreto API per l'istanza Devo di destinazione. |
| Verifica SSL | Casella di controllo | Selezionata | No | Se abilitato, il server Google SecOps controlla il certificato configurato per la radice dell'API. |
Casi d'uso
- Devo può essere utilizzato come origine di avvisi per Google SecOps da elaborare.
- DeVO può essere interrogato da Google SecOps per arricchire il contesto degli avvisi di Google SecOps.
Azioni
Dindin
Descrizione
Verifica la connettività all'istanza Devo con i parametri forniti nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace.
Se "siem.logtrust.alert.info" non viene concesso per il token di accesso generato, l'azione Ping non va a buon fine anche se il token è valido. Per ulteriori informazioni, consulta la sezione Autorizzazione prodotto.
Parametri
N/D
Caso d'uso
L'azione viene utilizzata per testare la connettività nella pagina di configurazione dell'integrazione nella scheda Google Security Operations Marketplace e può essere eseguita come azione manuale, non utilizzata nei playbook.
Run On
L'azione non viene eseguita sulle entità e non ha parametri di input obbligatori.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
N/A
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se l'operazione va a buon fine: "Connessione all'istanza Devo riuscita con i parametri di connessione forniti." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: In caso di esito negativo: "Impossibile connettersi al server LogRhythm. Error is {0}".format(exception.stacktrace) |
Generale |
Query avanzata
Descrizione
Esegui una query avanzata in base ai parametri forniti. Tieni presente che l'azione non funziona sulle entità Google SecOps. Per eseguire query su una tabella diversa da siem.logtrust.alert.info, crea un token aggiuntivo per quella tabella seguendo il documento Token di autenticazione disponibile nella documentazione di Devo e specificalo nella pagina di configurazione dell'integrazione.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Query | Stringa | N/D | Sì | Specifica una query da eseguire sull'istanza Devo. Esempio: "from siem.logtrust.alert.info". |
| Intervallo di tempo | DDL | Ultima ora Valori possibili:
|
No | Specifica un periodo di tempo per i risultati. Se è selezionata l'opzione "Personalizzato", devi fornire anche il parametro "Ora di inizio". |
| Ora di inizio | Stringa | N/D | No | Specifica l'ora di inizio della query. Questo parametro è obbligatorio se è selezionato "Personalizzato" per il parametro "Intervallo di tempo". Formato: ISO 8601 Esempio: 2021-08-05T05:18:42Z |
| Ora di fine | Stringa | N/D | No | Specifica l'ora di fine della query. Se non viene fornito nulla e per il parametro "Intervallo di tempo" è selezionato "Personalizzato", questo parametro utilizza l'ora corrente. Formato: ISO 8601 Esempio: 2021-08-05T05:18:42Z |
| Numero massimo di righe da restituire | Numero intero | 50 | No | Specifica il numero massimo di righe che l'azione deve restituire. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"msg": "",
"timestamp": 1630483519438,
"cid": "01a5d92a25ba",
"status": 0,
"object": [
{
"eventdate": 1619452643049,
"alertHost": "backoffice",
"domain": "siemplify",
"priority": 7.0,
"context": "my.alert.siemplify.500",
"category": "my.context",
"status": 0,
"alertId": "22797077",
"srcIp": null,
"srcPort": null,
"srcHost": "",
"dstIp": null,
"dstPort": null,
"dstHost": "",
"protocol": "",
"username": "user@siemplify.co",
"application": "",
"engine": "pil01-pro-custom-us-aws",
"extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
}
]
}
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se sono stati trovati almeno alcuni dati (is_success=true): "Recupero riuscito dei risultati per la query fornita in Devo". Se non vengono trovati risultati (is_success=false): "Nessun risultato trovato per la query fornita in Devo." L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se vengono segnalati errori nella query: "Errore durante l'esecuzione dell'azione "Ricerca avanzata". Motivo: {message}''.format(error.Stacktrace) Se il parametro "Ora di inizio" è vuoto e il parametro "Intervallo di tempo" è impostato su "Personalizzato" (errore): "Errore durante l'esecuzione dell'azione "". Motivo: "Ora di inizio" deve essere fornita quando "Personalizzato" è selezionato nel parametro "Intervallo di tempo"." Se il valore del parametro "Ora di inizio" è maggiore del valore del parametro "Ora di fine" (errore): "Errore durante l'esecuzione dell'azione "". Motivo: "Ora di fine" deve essere successiva a "Ora di inizio". Se per il parametro "Numero massimo di righe da restituire" è impostato un valore negativo o 0: "Errore durante l'esecuzione dell'azione "". Motivo: "Il numero massimo di righe da restituire deve essere un numero positivo e diverso da zero." Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Query avanzata". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella | Nome tabella:risultati della query avanzata Colonne della tabella: Tutte le colonne restituite dalla risposta. |
Generale |
Query semplice
Descrizione
Esegui una semplice query in base ai parametri forniti. Tieni presente che l'azione non funziona sulle entità Google SecOps. Per eseguire query su una tabella diversa da siem.logtrust.alert.info, crea un token aggiuntivo per quella tabella seguendo il documento Token di autenticazione disponibile nella documentazione di Devo e specificalo nella pagina di configurazione dell'integrazione.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome tabella | Stringa | siem.logtrust.alert.info | Sì | Specifica la tabella da interrogare. |
| Campi da restituire | CSV | N/D | No | Specifica i campi da restituire. Se non viene fornito nulla, l'azione restituisce tutti i campi. |
| Filtro Where | Stringa | N/D | No | Specifica il filtro Where per la query da eseguire. |
| Intervallo di tempo | DDL | Ultima ora Valori possibili: Ultima ora Ultime 6 ore Ultime 24 ore Settimana scorsa Mese scorso Personalizzato |
No | Specifica un periodo di tempo per i risultati. Se è selezionata l'opzione "Personalizzato", devi fornire anche il parametro "Ora di inizio". |
| Ora di inizio | Stringa | N/D | No | Specifica l'ora di inizio della query. Questo parametro è obbligatorio se è selezionato "Personalizzato" per il parametro "Intervallo di tempo". Formato: ISO 8601 Esempio: 2021-08-05T05:18:42Z |
| Ora di fine | Stringa | N/D | No | Specifica l'ora di fine della query. Se non viene fornito nulla e per il parametro "Intervallo di tempo" è selezionato "Personalizzato", questo parametro utilizza l'ora corrente. Formato: ISO 8601 Esempio: 2021-08-05T05:18:42Z |
| Numero massimo di righe da restituire | Numero intero | 50 | No | Specifica il numero massimo di righe che l'azione deve restituire. |
Run On
Questa azione non viene eseguita sulle entità.
Risultati dell'azione
Risultato script
| Nome risultato script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success=False |
Risultato JSON
{
"msg": "",
"timestamp": 1630483519438,
"cid": "01a5d92a25ba",
"status": 0,
"object": [
{
"eventdate": 1619452643049,
"alertHost": "backoffice",
"domain": "siemplify",
"priority": 7.0,
"context": "my.alert.siemplify.500",
"category": "my.context",
"status": 0,
"alertId": "22797077",
"srcIp": null,
"srcPort": null,
"srcHost": "",
"dstIp": null,
"dstPort": null,
"dstHost": "",
"protocol": "",
"username": "user@siemplify.co",
"application": "",
"engine": "pil01-pro-custom-us-aws",
"extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
}
]
}
Arricchimento delle entità
N/D
Approfondimenti
N/D
Bacheca casi
| Tipo di risultato | Valore/Descrizione | Tipo |
|---|---|---|
| Messaggio di output* | L'azione non deve non riuscire né interrompere l'esecuzione di un playbook: Se sono stati trovati almeno alcuni dati (is_success=true): "Recupero dei risultati della query riuscito: "{constructed query}" in Devo." Se non vengono trovati risultati (is_success=false): "Nessun risultato trovato per la query {constructed query} in Devo". L'azione deve non riuscire e interrompere l'esecuzione di un playbook: Se nella query vengono segnalati errori: "Errore durante l'esecuzione dell'azione "Ricerca semplice". Motivo: {message}''.format(error.Stacktrace) Se il parametro "Ora di inizio" è vuoto e il parametro "Intervallo di tempo" è impostato su "Personalizzato" (errore): "Errore durante l'esecuzione dell'azione "". Motivo: è necessario fornire l'ora di inizio quando è selezionato "Personalizzato" nel parametro "Intervallo di tempo"." Se il valore del parametro "Ora di inizio" è maggiore del valore del parametro "Ora di fine" (errore): "Errore durante l'esecuzione dell'azione "". Motivo: l'ora di fine deve essere successiva all'ora di inizio. Se per il parametro "Numero massimo di righe da restituire" è impostato un valore negativo o 0: "Errore durante l'esecuzione dell'azione "". Motivo: "Numero massimo di righe da restituire" deve essere un numero positivo e diverso da zero." Se viene segnalato un errore irreversibile, ad esempio credenziali errate, nessuna connessione al server o altro: "Errore durante l'esecuzione dell'azione "Query semplice". Motivo: {0}''.format(error.Stacktrace) |
Generale |
| Tabella | Nome tabella:risultati della query semplice Colonne della tabella:tutte le colonne restituite dalla risposta |
Generale |
Connettori
Devo Alerts Connector
Descrizione
Il connettore può essere utilizzato per recuperare i record di avviso dalla tabella siem.logtrust.alert.info di Devo. La lista consentita dei connettori può essere utilizzata per importare solo tipi specifici di avvisi in base al valore del contesto dell'avviso.
Configura il connettore degli avvisi Devo in Google SecOps
Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.
Parametri del connettore
Utilizza i seguenti parametri per configurare il connettore:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome campo prodotto | Stringa | Devo | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo prodotto. |
| Nome campo evento | Stringa | "context" | Sì | Inserisci il nome del campo di origine per recuperare il nome del campo evento. |
| Nome campo ambiente | Stringa | "" | No | Descrive il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo dell'ambiente non viene trovato, l'ambiente è quello predefinito. |
| Pattern regex ambiente | Stringa | .* | No | Un pattern regex da eseguire sul valore trovato nel campo "Nome campo ambiente". Il valore predefinito è .* per acquisire tutto e restituire il valore invariato. Utilizzato per consentire all'utente di manipolare il campo dell'ambiente tramite la logica delle espressioni regolari. Se il pattern regex è null o vuoto oppure il valore dell'ambiente è null, il risultato finale dell'ambiente è l'ambiente predefinito. |
| URL API | Stringa | https://apiv2-us.devo.com | Sì | Specifica l'URL dell'API per l'istanza Devo di destinazione. |
| Token API | Password | N/D | No | Se viene utilizzata un'autenticazione basata su token, specifica il token API per l'istanza di destinazione di Devo. |
| Chiave API | Password | N/D | No | Se viene utilizzata l'autenticazione con chiavi di accesso, specifica la chiave API per l'istanza Devo di destinazione. |
| API secret | Password | N/D | No | Se viene utilizzata un'autenticazione con chiavi di accesso, specifica il segreto API per l'istanza Devo di destinazione. |
| Verifica SSL | Casella di controllo | Selezionata | No | Se abilitato, il server Google SecOps controlla il certificato configurato per la radice dell'API. |
| Tempo di offset in ore | Numero intero | 24 | Sì | Recupera gli avvisi a partire da X ore prima. |
| Numero massimo di avvisi per ciclo | Numero intero | 30 | Sì | Numero di avvisi da elaborare durante l'esecuzione di un connettore. |
| Priorità minima per il recupero | Stringa | Normale | Sì | Priorità minima dell'avviso da importare in Google SecOps, ad esempio Bassa o Media. Valori possibili: Molto basso, Basso, Normale, Alto, Molto alto |
| Utilizzare la lista consentita come lista nera | Casella di controllo | Deselezionata | Sì | Se questa opzione è abilitata, la lista consentita viene utilizzata come lista bloccata. |
Regole del connettore
Supporto proxy
Il connettore supporta il proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.