Devo
統合バージョン: 8.0
プロダクトの権限
Devo は、Devo ドキュメント内のセキュリティ認証情報ドキュメントに記載されている複数の認証方法を提供します。
Google Security Operations の統合は、認証用に認証トークンまたはアクセスキーをサポートしています。
トークンベースの認証を構成することをおすすめします。
- Devo ドキュメント内の認証トークンのドキュメントに移動します。
- トークンを作成する方法の手順に沿って、ステップ 3 で [REST API を使用してデータをクエリする] を選択します。
- ステップ 4 で、ターゲット テーブルに「siem.logtrust.alert.info」を指定します。
ドキュメントに沿って作成プロセスを完了し、トークンを取得します。
API
API の詳細については、Devo ドキュメントで入手できる API リファレンス ドキュメントをご覧ください。
Google SecOps で Devo 統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API URL | 文字列 | https://apiv2-us.devo.com | ○ | ターゲット Devo インスタンスの API ルートを指定します。 |
| API トークン | パスワード | なし | いいえ | トークンベースの認証を使用する場合は、ターゲット Devo インスタンスの API トークンを指定します。 トークンとアクセスキーの両方が指定されている場合、統合は API トークンで動作し、アクセスキーは無視されます。 |
| API キー | パスワード | なし | いいえ | アクセスキー認証を使用する場合は、ターゲット Devo インスタンスの API キーを指定します。 |
| API Secret | パスワード | なし | いいえ | アクセスキー認証を使用する場合は、ターゲット Devo インスタンスの API シークレットを指定します。 |
| SSL を確認 | チェックボックス | オン | いいえ | 有効にすると、Google SecOps サーバーは API ルート用に構成された証明書をチェックします。 |
ユースケース
- Devo は、Google SecOps が処理するアラートのソースとして使用できます。
- Google SecOps から Devo をクエリして、Google SecOps アラートのコンテキストを拡充できます。
操作
Ping
説明
[Google Security Operations Marketplace] タブの統合構成ページで提供されるパラメータを使用して、Devo インスタンスへの接続をテストします。
生成されたアクセス トークンに対して「siem.logtrust.alert.info」が付与されていない場合、トークンが有効であっても ping アクションは失敗します。詳細については、プロダクトの権限のセクションをご覧ください。
パラメータ
なし
ユースケース
このアクションは、[Google Security Operations Marketplace] タブの統合構成ページで接続性をテストするために使用されます。手動アクションとして実行でき、ハンドブックでは使用されません。
実行
このアクションはエンティティに対しては実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「指定された接続パラメータで Devo インスタンスに正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 成功しなかった場合:「LogRhythm サーバーへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace) |
一般 |
高度なクエリ
説明
指定されたパラメータに基づいて高度なクエリを実行します。Google SecOps エンティティではアクションが機能しません。siem.logtrust.alert.info 以外のテーブルにクエリを実行するには、Devo ドキュメント内の認証トークンのドキュメントに沿って、そのテーブル用の追加のトークンを作成し、統合の構成ページでそれを指定します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| クエリ | 文字列 | なし | ○ | Devo インスタンスに対して実行するクエリを指定します。 例: 「from siem.logtrust.alert.info」。 |
| 期間 | DDL | Last Hour 有効な値:
|
いいえ | 結果の期間を指定します。 「カスタム」を選択した場合は、「開始時刻」パラメータも指定する必要があります。 |
| 開始時刻 | 文字列 | なし | いいえ | クエリの開始時刻を指定します。 「期間」パラメータに「カスタム」が選択されている場合、このパラメータは必須です。 形式: ISO 8601 例: 2021-08-05T05:18:42Z |
| 終了時刻 | 文字列 | なし | いいえ | クエリの終了時刻を指定します。 何も指定されず、「期間」パラメータで「カスタム」が選択されている場合、このパラメータでは現在の時刻が使用されます。 形式: ISO 8601 例: 2021-08-05T05:18:42Z |
| 返される最大行数 | 整数 | 50 | いいえ | アクションが返す行の最大数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"msg": "",
"timestamp": 1630483519438,
"cid": "01a5d92a25ba",
"status": 0,
"object": [
{
"eventdate": 1619452643049,
"alertHost": "backoffice",
"domain": "siemplify",
"priority": 7.0,
"context": "my.alert.siemplify.500",
"category": "my.context",
"status": 0,
"alertId": "22797077",
"srcIp": null,
"srcPort": null,
"srcHost": "",
"dstIp": null,
"dstPort": null,
"dstHost": "",
"protocol": "",
"username": "user@siemplify.co",
"application": "",
"engine": "pil01-pro-custom-us-aws",
"extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
}
]
}
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 少なくともいくつかのデータが見つかった場合(is_success=true):「Devo で指定されたクエリの結果が正常に取得されました。」 結果が見つからない場合(is_success=false):「Devo で指定されたクエリの結果が見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 クエリでエラーが報告された場合:「アクション「検索オプション」の実行エラー。理由: {message}」.format(error.Stacktrace) 「開始時刻」パラメータが空で、「期間」パラメータが「カスタム」に設定されている場合(失敗):「アクション「」の実行エラー。理由:「期間」パラメータで「カスタム」が選択されている場合、「開始時刻」を指定する必要があります。」 「開始時刻」パラメータの値が「終了時刻」パラメータの値より大きい場合(失敗):「アクション「」の実行エラー。理由:「終了時刻」は「開始時刻」より後である必要があります。」 「返される最大行数」パラメータに負の値または 0 が設定されている場合:「アクション「」の実行エラー。理由:「返される最大行数」は、ゼロ以外の数値で正の値にする必要があります。」 間違った認証情報、サーバーへの接続なし、その他などの致命的なエラーが報告された場合:「アクション「高度なクエリ」の実行エラー。理由: {0}」.format(error.Stacktrace) |
一般 |
| Table | テーブル名: 高度なクエリの結果 テーブル列: レスポンスから返されたすべての列。 |
一般 |
単純なクエリ
説明
指定されたパラメータに基づいて簡単なクエリを実行します。Google SecOps エンティティではアクションが機能しません。siem.logtrust.alert.info 以外のテーブルにクエリを実行するには、Devo ドキュメント内の認証トークンのドキュメントに沿って、そのテーブル用の追加のトークンを作成し、統合の構成ページでそれを指定します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| Table Name | 文字列 | siem.logtrust.alert.info | ○ | クエリを実行するテーブルを指定します。 |
| 返されるフィールド | CSV | なし | いいえ | 返すフィールドを指定します。 何も指定しないと、アクションですべてのフィールドが返されます。 |
| Where フィルタ | 文字列 | なし | いいえ | 実行する必要のあるクエリの Where フィルタを指定します。 |
| 期間 | DDL | Last Hour 有効な値: Last Hour 過去 6 時間 過去 24 時間 先週 先月 カスタム |
いいえ | 結果の期間を指定します。 「カスタム」を選択した場合は、「開始時刻」パラメータも指定する必要があります。 |
| 開始時刻 | 文字列 | なし | いいえ | クエリの開始時刻を指定します。 「期間」パラメータに「カスタム」が選択されている場合、このパラメータは必須です。 形式: ISO 8601 例: 2021-08-05T05:18:42Z |
| 終了時刻 | 文字列 | なし | いいえ | クエリの終了時刻を指定します。 何も指定されず、「期間」パラメータで「カスタム」が選択されている場合、このパラメータでは現在の時刻が使用されます。 形式: ISO 8601 例: 2021-08-05T05:18:42Z |
| 返される最大行数 | 整数 | 50 | いいえ | アクションが返す行の最大数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"msg": "",
"timestamp": 1630483519438,
"cid": "01a5d92a25ba",
"status": 0,
"object": [
{
"eventdate": 1619452643049,
"alertHost": "backoffice",
"domain": "siemplify",
"priority": 7.0,
"context": "my.alert.siemplify.500",
"category": "my.context",
"status": 0,
"alertId": "22797077",
"srcIp": null,
"srcPort": null,
"srcHost": "",
"dstIp": null,
"dstPort": null,
"dstHost": "",
"protocol": "",
"username": "user@siemplify.co",
"application": "",
"engine": "pil01-pro-custom-us-aws",
"extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
}
]
}
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 少なくともいくつかのデータが見つかった場合(is_success=true):「Devo でクエリ:「{constructed query}」の結果が正常に取得されました。」 結果が見つからない場合(is_success=false):「Devo でクエリ {constructed query} の結果が見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 クエリでエラーが報告された場合:「アクション「シンプル検索」の実行エラー。理由: {message}」.format(error.Stacktrace) 「開始時刻」パラメータが空で、「期間」パラメータが「カスタム」に設定されている場合(失敗):「アクション「」の実行エラー。理由:「期間」パラメータで「カスタム」が選択されている場合、「開始時刻」を指定する必要があります。」 「開始時刻」パラメータの値が「終了時刻」パラメータの値より大きい場合(失敗):「アクション「」の実行エラー。理由:「終了時刻」は「開始時刻」より後である必要があります。」 「返される最大行数」パラメータに負の値または 0 が設定されている場合:「アクション「」の実行エラー。理由:「返される最大行数」は、ゼロ以外の数値で正の値にする必要があります。」 間違った認証情報、サーバーへの接続なし、その他などの致命的なエラーが報告された場合:「アクション「単純なクエリ」の実行エラー。理由: {0}」.format(error.Stacktrace) |
一般 |
| Table | テーブル名: 単純なクエリの結果 テーブル列: レスポンスから返されたすべての列 |
一般 |
コネクタ
Devo Alerts コネクタ
説明
コネクタを使用して、Devo の siem.logtrust.alert.info テーブルからアラート レコードを取得できます。コネクタのホワイトリストを使用すると、アラートのコンテキスト値に基づいて特定のアラート タイプのみを取り込むことができます。
Google SecOps で Devo Alerts Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | Devo | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | "context" | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| API URL | 文字列 | https://apiv2-us.devo.com | ○ | ターゲット Devo インスタンスの API URL を指定します。 |
| API トークン | パスワード | なし | いいえ | トークンベースの認証を使用する場合は、ターゲット Devo インスタンスの API トークンを指定します。 |
| API キー | パスワード | なし | いいえ | アクセスキー認証を使用する場合は、ターゲット Devo インスタンスの API キーを指定します。 |
| API Secret | パスワード | なし | いいえ | アクセスキー認証を使用する場合は、ターゲット Devo インスタンスの API シークレットを指定します。 |
| SSL を確認 | チェックボックス | オン | いいえ | 有効にすると、Google SecOps サーバーは API ルート用に構成された証明書をチェックします。 |
| オフセット時間(時間) | 整数 | 24 | ○ | X 時間前から遡ってアラートを取得します。 |
| 1 サイクルあたりのアラートの最大数 | 整数 | 30 | ○ | 1 回のコネクタ実行で処理するアラートの数。 |
| 取得する最小優先度 | 文字列 | 標準 | はい | Google SecOps に取り込むアラートの最小優先度(低または中など)。 有効な値: Very Low、Low、Normal、High、Very High |
| 許可リストを拒否リストとして使用 | チェックボックス | オフ | ○ | 有効にすると、許可リストが拒否リストとして使用されます。 |
コネクタ ルール
プロキシのサポート
コネクタはプロキシをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。