Devo
統合バージョン: 4.0
プロダクトの権限
Devo では、Devo ドキュメント内のセキュリティ認証情報ドキュメントで説明されている複数の認証方法が用意されています。
Chronicle SOAR の統合は、認証用に認証トークンまたはアクセスキーをサポートしています。
トークンベースの認証を構成することをおすすめします。
- Devo ドキュメント内の認証トークンのドキュメントに移動します。
- トークンを作成する方法の手順に沿って、ステップ 3 で [REST API を使用してデータをクエリする] を選択します。
- ステップ 4 で、ターゲット テーブルに「siem.logtrust.alert.info」を指定します。
ドキュメントに従って作成プロセスを完了してトークンを取得します。
API
API の詳細については、Devo ドキュメント内の API リファレンス ドキュメントをご覧ください。
Chronicle SOAR で Devo 統合を構成する
Chronicle SOAR で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| API URL | 文字列 | https://apiv2-us.devo.com | ○ | ターゲット Devo インスタンスの API ルートを指定します。 |
| API トークン | パスワード | なし | いいえ | トークンベースの認証を使用する場合は、ターゲット Devo インスタンスの API トークンを指定します。 トークンとアクセスキーの両方を指定した場合、統合は API トークンに対して機能し、アクセスキーは無視されます。 |
| API キー | パスワード | なし | いいえ | アクセスキー認証を使用する場合は、ターゲット Devo インスタンスの API キーを指定します。 |
| API Secret | パスワード | なし | いいえ | アクセスキー認証を使用する場合は、ターゲット Devo インスタンスの API シークレットを指定します。 |
| SSL を確認 | チェックボックス | オン | いいえ | 有効になっている場合、Chronicle SOAR サーバーは API ルート用に構成された証明書を確認します。 |
ユースケース
- Devo は、Chronicle SOAR が処理するためのアラートのソースとして使用できます。
- Chronicle SOAR から Devo に対してクエリを実行し、Chronicle SOAR アラート コンテキストを拡充できます。
アクション
Ping
説明
[Chronicle Marketplace] タブの統合構成ページで指定されるパラメータを使用して、Devo インスタンスへの接続をテストします。
生成されたアクセス トークンに「siem.logtrust.alert.info」が付与されていない場合、トークンが有効であっても ping アクションは失敗します。詳細については、プロダクトの権限のセクションをご覧ください。
パラメータ
なし
ユースケース
このアクションは、[Chronicle Marketplace] タブの統合構成ページで接続をテストするために使用されます。手動アクションとして実行でき、ハンドブックでは使用されません。
実行
アクションはエンティティに対して実行されず、必須入力パラメータもありません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
N/A
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 成功した場合:「指定された接続パラメータで Devo インスタンスに正常に接続されました。」 アクションが失敗し、ハンドブックの実行が停止します。 成功しなかった場合:「LogRhythm サーバーへの接続に失敗しました。エラーは {0}」.format(exception.stacktrace) |
一般 |
高度なクエリ
説明
指定されたパラメータに基づいて高度なクエリを実行します。Chronicle SOAR エンティティではアクションが機能しません。siem.logtrust.alert.info 以外のテーブルにクエリを実行するには、Devo ドキュメント内の認証トークンのドキュメントに沿って、そのテーブル用の追加のトークンを作成し、統合の構成ページでそれを指定します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| クエリ | 文字列 | なし | ○ | Devo インスタンスに対して実行するクエリを指定します。 例: 「from siem.logtrust.alert.info」。 |
| 期間 | DDL | Last Hour 有効な値:
|
いいえ | 結果の期間を指定します。 「カスタム」を選択した場合は、「開始時刻」パラメータも指定する必要があります。 |
| 開始時刻 | 文字列 | なし | いいえ | クエリの開始時間を指定します。 「期間」パラメータで「カスタム」が選択されている場合、このパラメータは必須です。 形式: ISO 8601 例: 2021-08-05T05:18:42Z |
| 終了時刻 | 文字列 | なし | いいえ | クエリの終了時間を指定します。 何も指定されず、「期間」パラメータで「カスタム」が選択されている場合、このパラメータでは現在の時刻が使用されます。 形式: ISO 8601 例: 2021-08-05T05:18:42Z |
| 返される最大行数 | 整数 | 50 | いいえ | アクションで返される最大行数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"msg": "",
"timestamp": 1630483519438,
"cid": "01a5d92a25ba",
"status": 0,
"object": [
{
"eventdate": 1619452643049,
"alertHost": "backoffice",
"domain": "siemplify",
"priority": 7.0,
"context": "my.alert.siemplify.500",
"category": "my.context",
"status": 0,
"alertId": "22797077",
"srcIp": null,
"srcPort": null,
"srcHost": "",
"dstIp": null,
"dstPort": null,
"dstHost": "",
"protocol": "",
"username": "user@siemplify.co",
"application": "",
"engine": "pil01-pro-custom-us-aws",
"extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
}
]
}
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 少なくともいくつかのデータが見つかった場合(is_success=true):「Devo で指定されたクエリの結果が正常に取得されました。」 結果が見つからない場合(is_success=false):「Devo で指定されたクエリの結果が見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 クエリでエラーが報告された場合:「アクション「検索オプション」の実行エラー。理由: {message}」.format(error.Stacktrace) 「開始時刻」パラメータが空で、「期間」パラメータが「カスタム」に設定されている場合(失敗):「アクション「」の実行エラー。理由:「期間」パラメータで「カスタム」が選択されている場合、「開始時刻」を指定する必要があります。」 「開始時刻」パラメータの値が「終了時刻」パラメータの値より大きい場合(失敗):「アクション「」の実行エラー。理由:「終了時刻」は「開始時刻」より後である必要があります。」 「返される最大行数」パラメータに負の値または 0 が設定されている場合:「アクション「」の実行エラー。理由:「返される最大行数」は、ゼロ以外の数値で正の値にする必要があります。」 間違った認証情報、サーバーへの接続なし、その他などの致命的なエラーが報告された場合:「アクション「高度なクエリ」の実行エラー。理由: {0}」.format(error.Stacktrace) |
一般 |
| Table | テーブル名: 高度なクエリの結果 テーブル列: レスポンスから返されたすべての列。 |
一般 |
単純なクエリ
説明
指定されたパラメータに基づいて単純なクエリを実行します。Chronicle SOAR エンティティではアクションが機能ません。siem.logtrust.alert.info 以外のテーブルにクエリを実行するには、Devo ドキュメント内の認証トークンのドキュメントに沿って、そのテーブル用の追加のトークンを作成し、統合の構成ページでそれを指定します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| Table Name | 文字列 | siem.logtrust.alert.info | ○ | クエリ対象のテーブルを指定します。 |
| 返されるフィールド | CSV | なし | いいえ | 返されるフィールドを指定します。 何も指定しないと、アクションですべてのフィールドが返されます。 |
| Where フィルタ | 文字列 | なし | いいえ | 実行する必要のあるクエリの Where フィルタを指定します。 |
| 期間 | DDL | Last Hour 有効な値: Last Hour 過去 6 時間 過去 24 時間 先週 先月 カスタム |
いいえ | 結果の期間を指定します。 「カスタム」を選択した場合は、「開始時刻」パラメータも指定する必要があります。 |
| 開始時刻 | 文字列 | なし | いいえ | クエリの開始時間を指定します。 「期間」パラメータで「カスタム」が選択されている場合、このパラメータは必須です。 形式: ISO 8601 例: 2021-08-05T05:18:42Z |
| 終了時刻 | 文字列 | なし | いいえ | クエリの終了時間を指定します。 何も指定されず、「期間」パラメータで「カスタム」が選択されている場合、このパラメータでは現在の時刻が使用されます。 形式: ISO 8601 例: 2021-08-05T05:18:42Z |
| 返される最大行数 | 整数 | 50 | いいえ | アクションで返される最大行数を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON の結果
{
"msg": "",
"timestamp": 1630483519438,
"cid": "01a5d92a25ba",
"status": 0,
"object": [
{
"eventdate": 1619452643049,
"alertHost": "backoffice",
"domain": "siemplify",
"priority": 7.0,
"context": "my.alert.siemplify.500",
"category": "my.context",
"status": 0,
"alertId": "22797077",
"srcIp": null,
"srcPort": null,
"srcHost": "",
"dstIp": null,
"dstPort": null,
"dstHost": "",
"protocol": "",
"username": "user@siemplify.co",
"application": "",
"engine": "pil01-pro-custom-us-aws",
"extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
}
]
}
エンティティ拡充
なし
分析情報
なし
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 少なくともいくつかのデータが見つかった場合(is_success=true):「Devo でクエリ:「{constructed query}」の結果が正常に取得されました。」 結果が見つからない場合(is_success=false):「Devo でクエリ {constructed query} の結果が見つかりませんでした。」 アクションが失敗し、ハンドブックの実行が停止します。 クエリでエラーが報告された場合:「アクション「シンプル検索」の実行エラー。理由: {message}」.format(error.Stacktrace) 「開始時刻」パラメータが空で、「期間」パラメータが「カスタム」に設定されている場合(失敗):「アクション「」の実行エラー。理由:「期間」パラメータで「カスタム」が選択されている場合、「開始時刻」を指定する必要があります。」 「開始時刻」パラメータの値が「終了時刻」パラメータの値より大きい場合(失敗):「アクション「」の実行エラー。理由:「終了時刻」は「開始時刻」より後である必要があります。」 「返される最大行数」パラメータに負の値または 0 が設定されている場合:「アクション「」の実行エラー。理由:「返される最大行数」は、ゼロ以外の数値で正の値にする必要があります。」 間違った認証情報、サーバーへの接続なし、その他などの致命的なエラーが報告された場合:「アクション「単純なクエリ」の実行エラー。理由: {0}」.format(error.Stacktrace) |
一般 |
| Table | テーブル名: 単純なクエリの結果 テーブル列: レスポンスから返されたすべての列 |
一般 |
コネクタ
Devo アラート コネクタ
説明
コネクタを使用すると、Devo の siem.logtrust.alert.info テーブルからアラート レコードを取得できます。コネクタのホワイトリストを使用すると、アラート コンテキスト値に基づいて特定のタイプのアラートのみを取り込むことができます。
Chronicle SOAR で Devo アラート コネクタを構成する
Chronicle SOAR でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | Devo | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | "context" | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が格納されるフィールドの名前を記述します。 環境フィールドがない場合、その環境はデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| API URL | 文字列 | https://apiv2-us.devo.com | ○ | ターゲット Devo インスタンスの API URL を指定します。 |
| API トークン | パスワード | なし | いいえ | トークンベースの認証を使用する場合は、ターゲット Devo インスタンスの API トークンを指定します。 |
| API キー | パスワード | なし | いいえ | アクセスキー認証を使用する場合は、ターゲット Devo インスタンスの API キーを指定します。 |
| API Secret | パスワード | なし | いいえ | アクセスキー認証を使用する場合は、ターゲット Devo インスタンスの API シークレットを指定します。 |
| SSL を確認 | チェックボックス | オン | いいえ | 有効になっている場合、Chronicle SOAR サーバーは API ルート用に構成された証明書を確認します。 |
| オフセット時間(時間) | 整数 | 24 | ○ | X 時間前から遡ってアラートを取得します。 |
| サイクルあたりの最大アラート数 | 整数 | 30 | ○ | 1 回のコネクタの実行中に処理されるアラートの数。 |
| 取得する最小優先度 | 文字列 | 標準 | ○ | Chronicle SOAR に取り込まれるアラートの最小優先度(たとえば、低、中)。 有効な値: とても低い、低い、標準、高い、非常に高い |
| ホワイトリストをブラックリストとして使用する | チェックボックス | オフ | ○ | 有効にすると、ホワイトリストがブラックリストとして使用されます。 |
コネクタ ルール
プロキシのサポート
コネクタはプロキシをサポートしています。