이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Devo

통합 버전: 8.0

제품 권한

Devo는 Devo 문서에서 제공되는 보안 사용자 인증 정보 문서에 설명된 여러 인증 방법을 제공합니다.

Google Security Operations 통합은 인증을 위한 인증 토큰 또는 액세스 키를 지원합니다.

토큰 기반 인증을 구성하는 것이 좋습니다.

Devo 문서에서 제공되는 인증 토큰 문서로 이동합니다.
토큰을 만드는 방법을 설명하는 단계를 따르고 3단계에서 REST API를 사용하여 데이터 쿼리를 선택합니다.
4단계에서 대상 테이블에 'siem.logtrust.alert.info'를 지정합니다.

문서에 따라 생성 프로세스를 완료하여 토큰을 가져옵니다.

API

API에 관한 자세한 내용은 Devo 문서에 있는 API 참조 문서를 참고하세요.

Google SecOps에서 Devo 통합 구성

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

통합 매개변수

다음 매개변수를 사용하여 통합을 구성합니다.

매개변수 표시 이름	유형	기본값	필수 항목	설명
API URL	문자열	https://apiv2-us.devo.com	예	타겟 Devo 인스턴스의 API 루트를 지정합니다.
API 토큰	비밀번호	해당 사항 없음	아니요	토큰 기반 인증을 사용하는 경우 타겟 Devo 인스턴스의 API 토큰을 지정합니다. 토큰과 액세스 키가 모두 제공되면 통합은 API 토큰에서 작동하고 액세스 키는 무시합니다.
API 키	비밀번호	해당 사항 없음	아니요	액세스 키 인증을 사용하는 경우 타겟 Devo 인스턴스의 API 키를 지정합니다.
API 비밀번호	비밀번호	해당 사항 없음	아니요	액세스 키 인증을 사용하는 경우 타겟 Devo 인스턴스의 API 비밀을 지정합니다.
SSL 확인	체크박스	선택	아니요	사용 설정되면 Google SecOps 서버에서 API 루트에 대해 구성된 인증서를 확인합니다.

사용 사례

Devo는 Google SecOps에서 처리할 알림의 소스로 사용할 수 있습니다.
Google SecOps에서 Devo를 쿼리하여 Google SecOps 알림 컨텍스트를 보강할 수 있습니다.

작업

핑

설명

Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Devo 인스턴스에 대한 연결을 테스트합니다.

생성된 액세스 토큰에 'siem.logtrust.alert.info'가 부여되지 않으면 토큰이 유효하더라도 Ping 작업이 실패합니다. 자세한 내용은 제품 권한 섹션을 참고하세요.

매개변수

해당 사항 없음

사용 사례

이 작업은 Google Security Operations Marketplace 탭의 통합 구성 페이지에서 연결을 테스트하는 데 사용되며 플레이북에 사용되지 않는 직접 조치로 실행될 수 있습니다.

실행

작업이 항목에서 실행되지 않거나 필수 입력 매개변수가 없습니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success=False

JSON 결과

N/A

항목 보강

해당 사항 없음

통계

해당 사항 없음

케이스 월

결과 유형	값/설명	유형
출력 메시지*	작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 성공한 경우: '제공된 연결 매개변수를 사용하여 Devo 인스턴스에 성공적으로 연결되었습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 실패한 경우: 'LogRhythm 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace)	일반

결과 유형

값/설명

유형

출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

성공한 경우: '제공된 연결 매개변수를 사용하여 Devo 인스턴스에 성공적으로 연결되었습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

실패한 경우: 'LogRhythm 서버에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace)

일반

고급 쿼리

설명

제공된 매개변수를 기반으로 고급 쿼리를 실행합니다. 이 작업은 Google SecOps 항목에서는 작동하지 않습니다. siem.logtrust.alert.info 이외의 테이블을 쿼리하려면 Devo 문서 내에서 제공되는 인증 토큰 문서를 따라 해당 테이블의 추가 토큰을 만들고 통합 구성 페이지에서 이를 지정합니다.

매개변수

매개변수 표시 이름	유형	기본값	필수 항목	설명
쿼리	문자열	해당 사항 없음	예	Devo 인스턴스에 대해 실행할 쿼리를 지정합니다. 예: 'from siem.logtrust.alert.info'
기간	DDL	지난 1시간 가능한 값은 다음과 같습니다. 지난 1시간 지난 6시간 지난 24시간 지난주 지난달 커스텀	No	결과 기간을 지정합니다. '커스텀'을 선택한 경우 '시작 시간' 매개변수도 제공해야 합니다.
시작 시간	문자열	해당 사항 없음	아니요	쿼리의 시작 시간을 지정합니다. '기간' 매개변수에 '커스텀'을 선택한 경우 이 매개변수는 필수 항목입니다. 형식: ISO 8601 예: 2021-08-05T05:18:42Z
종료 시간	문자열	해당 사항 없음	아니요	쿼리의 종료 시간을 지정합니다. 아무것도 제공하지 않고 '기간' 매개변수에 '커스텀'을 선택하면 이 매개변수는 현재 시간을 사용합니다. 형식: ISO 8601 예: 2021-08-05T05:18:42Z
반환할 최대 행 수	정수	50	아니요	작업에서 반환해야 하는 최대 행 수를 지정합니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success=False

JSON 결과

{
   "msg": "",
   "timestamp": 1630483519438,
   "cid": "01a5d92a25ba",
   "status": 0,
   "object": [
       {
           "eventdate": 1619452643049,
           "alertHost": "backoffice",
           "domain": "siemplify",
           "priority": 7.0,
           "context": "my.alert.siemplify.500",
           "category": "my.context",
           "status": 0,
           "alertId": "22797077",
           "srcIp": null,
           "srcPort": null,
           "srcHost": "",
           "dstIp": null,
           "dstPort": null,
           "dstHost": "",
           "protocol": "",
           "username": "user@siemplify.co",
           "application": "",
           "engine": "pil01-pro-custom-us-aws",
           "extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
       }
   ]
}

항목 보강

해당 사항 없음

통계

해당 사항 없음

케이스 월

결과 유형	값/설명	유형
출력 메시지*	작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 데이터가 하나 이상 있는 경우 (is_success=true): 'Devo에서 제공된 쿼리의 결과를 성공적으로 가져왔습니다.' 결과가 없는 경우 (is_success=false): 'Devo에서 제공된 쿼리에 대한 결과를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 쿼리에 오류가 보고된 경우: "Error executing action "Advanced Search". 이유: {message}''.format(error.Stacktrace) '시작 시간' 매개변수가 비어 있고 '기간' 매개변수가 '맞춤'으로 설정된 경우(실패): '' 작업을 실행하는 동안 오류가 발생했습니다. 이유: '기간' 매개변수에서 '맞춤'을 선택한 경우 '시작 시간'을 제공해야 합니다.' '시작 시간' 매개변수 값이 '종료 시간' 매개변수 값보다 큰 경우 (실패): ''작업 실행 중에 오류가 발생했습니다. 이유: '종료 시간'은 '시작 시간'보다 늦어야 합니다. '반환할 최대 행 수' 매개변수에 음수 또는 0이 설정된 경우: ''작업 실행 중 오류가 발생했습니다. 이유: '반환할 최대 행 수'는 0이 아닌 양수여야 합니다.' 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''고급 쿼리' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace)	일반
표	표 이름: 고급 쿼리 결과 테이블 열: 응답에서 반환된 모든 열입니다.	일반

결과 유형

값/설명

유형

출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

데이터가 하나 이상 있는 경우 (is_success=true): 'Devo에서 제공된 쿼리의 결과를 성공적으로 가져왔습니다.'

결과가 없는 경우 (is_success=false): 'Devo에서 제공된 쿼리에 대한 결과를 찾을 수 없습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

쿼리에 오류가 보고된 경우: "Error executing action "Advanced Search". 이유: {message}''.format(error.Stacktrace)

'시작 시간' 매개변수가 비어 있고 '기간' 매개변수가 '맞춤'으로 설정된 경우(실패): '' 작업을 실행하는 동안 오류가 발생했습니다. 이유: '기간' 매개변수에서 '맞춤'을 선택한 경우 '시작 시간'을 제공해야 합니다.'

'시작 시간' 매개변수 값이 '종료 시간' 매개변수 값보다 큰 경우 (실패): ''작업 실행 중에 오류가 발생했습니다. 이유: '종료 시간'은 '시작 시간'보다 늦어야 합니다.

'반환할 최대 행 수' 매개변수에 음수 또는 0이 설정된 경우: ''작업 실행 중 오류가 발생했습니다. 이유: '반환할 최대 행 수'는 0이 아닌 양수여야 합니다.'

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''고급 쿼리' 작업 실행 중에 오류가 발생했습니다.' 이유: {0}'.format(error.Stacktrace)

일반

표

표 이름: 고급 쿼리 결과

테이블 열:

응답에서 반환된 모든 열입니다.

일반

간단한 쿼리

설명

제공된 매개변수를 기반으로 간단한 쿼리를 실행합니다. 이 작업은 Google SecOps 항목에서 작동하지 않습니다. siem.logtrust.alert.info 이외의 테이블을 쿼리하려면 Devo 문서 내에서 제공되는 인증 토큰 문서를 따라 해당 테이블의 추가 토큰을 만들고 통합 구성 페이지에서 이를 지정합니다.

매개변수

매개변수 표시 이름	유형	기본값	필수 항목	설명
테이블 이름	문자열	siem.logtrust.alert.info	예	쿼리할 테이블을 지정합니다.
반환할 필드	CSV	해당 사항 없음	아니요	반환할 필드를 지정합니다. 아무것도 제공되지 않으면 작업에서 모든 필드를 반환합니다.
Where 필터	문자열	해당 사항 없음	아니요	실행해야 하는 쿼리의 Where 필터를 지정합니다.
기간	DDL	지난 1시간 가능한 값은 다음과 같습니다. 지난 1시간 지난 6시간 지난 24시간 지난주 지난달 커스텀	No	결과 기간을 지정합니다. '커스텀'을 선택한 경우 '시작 시간' 매개변수도 제공해야 합니다.
시작 시간	문자열	해당 사항 없음	아니요	쿼리의 시작 시간을 지정합니다. '기간' 매개변수에 '커스텀'을 선택한 경우 이 매개변수는 필수 항목입니다. 형식: ISO 8601 예: 2021-08-05T05:18:42Z
종료 시간	문자열	해당 사항 없음	아니요	쿼리의 종료 시간을 지정합니다. 아무것도 제공하지 않고 '기간' 매개변수에 '커스텀'을 선택하면 이 매개변수는 현재 시간을 사용합니다. 형식: ISO 8601 예: 2021-08-05T05:18:42Z
반환할 최대 행 수	정수	50	아니요	작업에서 반환해야 하는 최대 행 수를 지정합니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

스크립트 결과

스크립트 결과 이름	값 옵션	예
is_success	True/False	is_success=False

JSON 결과

{
   "msg": "",
   "timestamp": 1630483519438,
   "cid": "01a5d92a25ba",
   "status": 0,
   "object": [
       {
           "eventdate": 1619452643049,
           "alertHost": "backoffice",
           "domain": "siemplify",
           "priority": 7.0,
           "context": "my.alert.siemplify.500",
           "category": "my.context",
           "status": 0,
           "alertId": "22797077",
           "srcIp": null,
           "srcPort": null,
           "srcHost": "",
           "dstIp": null,
           "dstPort": null,
           "dstHost": "",
           "protocol": "",
           "username": "user@siemplify.co",
           "application": "",
           "engine": "pil01-pro-custom-us-aws",
           "extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
       }
   ]
}

항목 보강

해당 사항 없음

통계

해당 사항 없음

케이스 월

결과 유형	값/설명	유형
출력 메시지*	작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 데이터가 하나 이상 있는 경우 (is_success=true): 'Devo에서 '{constructed query}' 쿼리의 결과를 성공적으로 가져왔습니다.' 결과가 없는 경우 (is_success=false): 'Devo에서 {constructed query} 쿼리에 대한 결과를 찾을 수 없습니다.' 작업이 실패하고 플레이북 실행을 중지합니다. 쿼리에 오류가 보고된 경우: "Error executing action "Simple Search". 이유: {message}''.format(error.Stacktrace) '시작 시간' 매개변수가 비어 있고 '기간' 매개변수가 '맞춤'으로 설정된 경우(실패): '' 작업을 실행하는 동안 오류가 발생했습니다. 이유: '기간' 매개변수에서 '맞춤'을 선택한 경우 '시작 시간'을 제공해야 합니다.' '시작 시간' 매개변수 값이 '종료 시간' 매개변수 값보다 큰 경우 (실패): '' 작업 실행 중에 오류가 발생했습니다. 이유: '종료 시간'은 '시작 시간'보다 늦어야 합니다. '반환할 최대 행 수' 매개변수에 음수 값 또는 0이 설정된 경우: '작업 실행 중 오류가 발생했습니다. 이유: '반환할 최대 행 수'는 0이 아닌 양수여야 합니다.' 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''간단한 쿼리' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace)	일반
표	테이블 이름: Simple Query Results(간단한 쿼리 결과) 표 열: 응답에서 반환된 모든 열	일반

결과 유형

값/설명

유형

출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

데이터가 하나 이상 있는 경우 (is_success=true): 'Devo에서 '{constructed query}' 쿼리의 결과를 성공적으로 가져왔습니다.'

결과가 없는 경우 (is_success=false): 'Devo에서 {constructed query} 쿼리에 대한 결과를 찾을 수 없습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

쿼리에 오류가 보고된 경우: "Error executing action "Simple Search". 이유: {message}''.format(error.Stacktrace)

'시작 시간' 매개변수 값이 '종료 시간' 매개변수 값보다 큰 경우 (실패): '' 작업 실행 중에 오류가 발생했습니다. 이유: '종료 시간'은 '시작 시간'보다 늦어야 합니다.

'반환할 최대 행 수' 매개변수에 음수 값 또는 0이 설정된 경우: '작업 실행 중 오류가 발생했습니다. 이유: '반환할 최대 행 수'는 0이 아닌 양수여야 합니다.'

잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 보고되는 경우: ''간단한 쿼리' 작업 실행 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace)

일반

표

테이블 이름: Simple Query Results(간단한 쿼리 결과)

표 열: 응답에서 반환된 모든 열

일반

커넥터

Devo Alerts Connector

설명

커넥터를 사용하여 Devo의 siem.logtrust.alert.info 테이블에서 알림 레코드를 가져올 수 있습니다. 커넥터 허용 목록을 사용하여 알림 컨텍스트 값을 기반으로 특정 유형의 알림만 수집할 수 있습니다.

Google SecOps에서 Devo Alerts 커넥터 구성

Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.

커넥터 매개변수

다음 매개변수를 사용하여 커넥터를 구성합니다.

매개변수 표시 이름	유형	기본값	필수 항목	설명
제품 필드 이름	문자열	Devo	예	제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다.
이벤트 필드 이름	문자열	'컨텍스트'	예	이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다.
환경 필드 이름	문자열	""	아니요	환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다.
환경 정규식 패턴	문자열	.*	아니요	'환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.
API URL	문자열	https://apiv2-us.devo.com	예	타겟 Devo 인스턴스의 API URL을 지정합니다.
API 토큰	비밀번호	해당 사항 없음	아니요	토큰 기반 인증을 사용하는 경우 타겟 Devo 인스턴스의 API 토큰을 지정합니다.
API 키	비밀번호	해당 사항 없음	아니요	액세스 키 인증을 사용하는 경우 타겟 Devo 인스턴스의 API 키를 지정합니다.
API 비밀번호	비밀번호	해당 사항 없음	아니요	액세스 키 인증을 사용하는 경우 타겟 Devo 인스턴스의 API 비밀을 지정합니다.
SSL 확인	체크박스	선택	아니요	사용 설정되면 Google SecOps 서버에서 API 루트에 대해 구성된 인증서를 확인합니다.
오프셋 시간(시간)	정수	24	예	X시간부터 역순으로 알림을 가져옵니다.
주기당 최대 알림 수	정수	30	예	하나의 커넥터 실행 중에 처리해야 하는 알림 수입니다.
가져올 최소 우선순위	문자열	보통	예	Google SecOps에 수집할 알림의 최소 우선순위입니다(예: 낮음 또는 중간). 가능한 값: 매우 낮음, 낮음, 보통, 높음, 매우 높음
허용 목록을 차단 목록으로 사용	체크박스	선택 해제	예	사용 설정하면 허용 목록이 차단 목록으로 사용됩니다.

커넥터 규칙

프록시 지원

커넥터가 프록시를 지원합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.