Esta página foi traduzida pela API Cloud Translation.

Devo

Versão da integração: 8.0

Autorização do produto

O Devo oferece vários métodos de autenticação descritos no documento Credenciais de segurança disponível na documentação do Devo.

A integração do Google Security Operations suporta tokens de autenticação ou chaves de acesso para autenticação.

Recomendamos que configure a autenticação baseada em tokens:

Aceda ao documento Tokens de autenticação disponível na documentação do Devo.
Siga os passos sobre como criar um token. No passo 3, selecione Consultar dados através da API REST.
No passo 4, para a tabela de destino, especifique "siem.logtrust.alert.info".

Conclua o processo de criação de acordo com a documentação para receber um token.

API

Para mais informações sobre a API, consulte o documento de referência da API disponível na documentação do Devo.

Configure a integração do Devo no Google SecOps

Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
URL da API	String	https://apiv2-us.devo.com	Sim	Especifique a raiz da API para a instância do Devo de destino.
Chave da API	Palavra-passe	N/A	Não	Se for usada uma autenticação baseada em tokens, especifique o token da API para a instância do Devo de destino. Se forem fornecidas chaves de acesso e um token, a integração funciona com o token da API e ignora as chaves de acesso.
Chave de API	Palavra-passe	N/A	Não	Se for usada uma autenticação de chaves de acesso, especifique a chave da API para a instância do Devo de destino.
Segredo da API	Palavra-passe	N/A	Não	Se for usada uma autenticação de chaves de acesso, especifique o segredo da API para a instância do Devo de destino.
Validar SSL	Caixa de verificação	Marcado	Não	Se estiver ativado, o servidor do Google SecOps verifica o certificado configurado para a raiz da API.

Exemplos de utilização

O Devo pode ser usado como uma origem de alertas para o Google SecOps processar.
O Devo pode ser consultado a partir do Google SecOps para enriquecer o contexto dos alertas do Google SecOps.

Ações

Tchim-tchim

Descrição

Teste a conetividade à instância do Devo com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.

Se "siem.logtrust.alert.info" não for concedido para o token de acesso gerado, a ação Ping falha, mesmo que o token seja válido. Para mais informações, consulte a secção Autorização do produto.

Parâmetros

N/A

Exemplo de utilização

A ação é usada para testar a conetividade na página de configuração da integração no separador Google Security Operations Marketplace e pode ser executada como uma ação manual, não usada em manuais de procedimentos.

Executar em

A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success=False

Resultado JSON

N/A

Enriquecimento de entidades

N/A

Estatísticas

N/A

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: Se tiver êxito: "Ligação à instância do Devo estabelecida com êxito com os parâmetros de ligação fornecidos!" A ação deve falhar e parar a execução de um guia interativo: Se não for bem-sucedido: "Não foi possível estabelecer ligação ao servidor LogRhythm! O erro é {0}".format(exception.stacktrace)	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

Se tiver êxito: "Ligação à instância do Devo estabelecida com êxito com os parâmetros de ligação fornecidos!"

A ação deve falhar e parar a execução de um guia interativo:

Se não for bem-sucedido: "Não foi possível estabelecer ligação ao servidor LogRhythm! O erro é {0}".format(exception.stacktrace)

Geral

Consulta avançada

Descrição

Executar uma consulta avançada com base nos parâmetros fornecidos. Tenha em atenção que a ação não está a funcionar em entidades do Google SecOps. Para consultar uma tabela diferente de siem.logtrust.alert.info, crie um token adicional para essa tabela seguindo o documento Tokens de autenticação disponível na documentação do Devo e especifique-o na página de configuração da integração.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Consulta	String	N/A	Sim	Especifique uma consulta a executar na instância do Devo. Exemplo: "from siem.logtrust.alert.info".
Intervalo de tempo	LDD	Última hora Valores possíveis: Última hora Últimas 6 horas Últimas 24 horas Semana passada Mês passado Personalizado	Não	Especifique um período para os resultados. Se "Personalizado" estiver selecionado, também tem de fornecer o parâmetro "Hora de início".
Hora de início	String	N/A	Não	Especifique a hora de início da consulta. Este parâmetro é obrigatório se "Personalizado" estiver selecionado para o parâmetro "Intervalo de tempo". Formato: ISO 8601 Exemplo: 2021-08-05T05:18:42Z
Hora de fim	String	N/A	Não	Especifique a hora de fim da consulta. Se não for fornecido nada e "Personalizado" for selecionado para o parâmetro "Intervalo de tempo", este parâmetro usa a hora atual. Formato: ISO 8601 Exemplo: 2021-08-05T05:18:42Z
Máximo de linhas a devolver	Número inteiro	50	Não	Especifique o número máximo de linhas que a ação deve devolver.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success=False

Resultado JSON

{
   "msg": "",
   "timestamp": 1630483519438,
   "cid": "01a5d92a25ba",
   "status": 0,
   "object": [
       {
           "eventdate": 1619452643049,
           "alertHost": "backoffice",
           "domain": "siemplify",
           "priority": 7.0,
           "context": "my.alert.siemplify.500",
           "category": "my.context",
           "status": 0,
           "alertId": "22797077",
           "srcIp": null,
           "srcPort": null,
           "srcHost": "",
           "dstIp": null,
           "dstPort": null,
           "dstHost": "",
           "protocol": "",
           "username": "user@siemplify.co",
           "application": "",
           "engine": "pil01-pro-custom-us-aws",
           "extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
       }
   ]
}

Enriquecimento de entidades

N/A

Estatísticas

N/A

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: If found at least some data (is_success=true): "Successfully retrieved results for the provided query in Devo." Se não forem encontrados resultados (is_success=false): "Não foram encontrados resultados para a consulta fornecida no Devo." A ação deve falhar e parar a execução de um guia interativo: Se forem comunicados erros na consulta: "Erro ao executar a ação "Pesquisa avançada". Motivo: {message}''.format(error.Stacktrace) Se o parâmetro "Hora de início" estiver vazio e o parâmetro "Intervalo de tempo" estiver definido como "Personalizado" (falha): "Erro ao executar a ação "". Motivo: a "Hora de início" deve ser fornecida quando "Personalizado" é selecionado no parâmetro "Intervalo de tempo"." Se o valor do parâmetro "Hora de início" for superior ao valor do parâmetro "Hora de fim" (falha): "Erro ao executar a ação "". Motivo: a "Hora de fim" deve ser posterior à "Hora de início". Se for definido um valor negativo ou 0 para o parâmetro "Máximo de linhas a devolver": "Erro ao executar a ação "". Motivo: "Máximo de linhas a devolver" deve ser um número positivo diferente de zero." Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Consulta avançada". Motivo: {0}''.format(error.Stacktrace)	Geral
Tabela	Nome da tabela: resultados da consulta avançada Colunas da tabela: Todas as colunas devolvidas pela resposta.	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

If found at least some data (is_success=true): "Successfully retrieved results for the provided query in Devo."

Se não forem encontrados resultados (is_success=false): "Não foram encontrados resultados para a consulta fornecida no Devo."

A ação deve falhar e parar a execução de um guia interativo:

Se forem comunicados erros na consulta: "Erro ao executar a ação "Pesquisa avançada". Motivo: {message}''.format(error.Stacktrace)

Se o parâmetro "Hora de início" estiver vazio e o parâmetro "Intervalo de tempo" estiver definido como "Personalizado" (falha): "Erro ao executar a ação "". Motivo: a "Hora de início" deve ser fornecida quando "Personalizado" é selecionado no parâmetro "Intervalo de tempo"."

Se o valor do parâmetro "Hora de início" for superior ao valor do parâmetro "Hora de fim" (falha): "Erro ao executar a ação "". Motivo: a "Hora de fim" deve ser posterior à "Hora de início".

Se for definido um valor negativo ou 0 para o parâmetro "Máximo de linhas a devolver": "Erro ao executar a ação "". Motivo: "Máximo de linhas a devolver" deve ser um número positivo diferente de zero."

Se for comunicado um erro fatal, como credenciais incorretas, sem ligação ao servidor ou outro: "Erro ao executar a ação "Consulta avançada". Motivo: {0}''.format(error.Stacktrace)

Geral

Tabela

Nome da tabela: resultados da consulta avançada

Colunas da tabela:

Todas as colunas devolvidas pela resposta.

Geral

Consulta simples

Descrição

Executar uma consulta simples com base nos parâmetros fornecidos. Tenha em atenção que a ação não está a funcionar em entidades do Google SecOps. Para consultar uma tabela diferente de siem.logtrust.alert.info, crie um token adicional para essa tabela seguindo o documento Tokens de autenticação disponível na documentação do Devo e especifique-o na página de configuração da integração.

Parâmetros

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome da tabela	String	siem.logtrust.alert.info	Sim	Especifique a tabela que deve ser consultada.
Campos a devolver	CSV	N/A	Não	Especifique os campos a devolver. Se não for fornecido nada, a ação devolve todos os campos.
Filtro Where	String	N/A	Não	Especifique o filtro Where para a consulta que tem de ser executada.
Intervalo de tempo	LDD	Última hora Valores possíveis: Última hora Últimas 6 horas Últimas 24 horas Semana passada Mês passado Personalizado	Não	Especifique um período para os resultados. Se "Personalizado" estiver selecionado, também tem de fornecer o parâmetro "Hora de início".
Hora de início	String	N/A	Não	Especifique a hora de início da consulta. Este parâmetro é obrigatório se "Personalizado" estiver selecionado para o parâmetro "Intervalo de tempo". Formato: ISO 8601 Exemplo: 2021-08-05T05:18:42Z
Hora de fim	String	N/A	Não	Especifique a hora de fim da consulta. Se não for fornecido nada e "Personalizado" for selecionado para o parâmetro "Intervalo de tempo", este parâmetro usa a hora atual. Formato: ISO 8601 Exemplo: 2021-08-05T05:18:42Z
Máximo de linhas a devolver	Número inteiro	50	Não	Especifique o número máximo de linhas que a ação deve devolver.

Executar em

Esta ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valores	Exemplo
is_success	Verdadeiro/Falso	is_success=False

Resultado JSON

{
   "msg": "",
   "timestamp": 1630483519438,
   "cid": "01a5d92a25ba",
   "status": 0,
   "object": [
       {
           "eventdate": 1619452643049,
           "alertHost": "backoffice",
           "domain": "siemplify",
           "priority": 7.0,
           "context": "my.alert.siemplify.500",
           "category": "my.context",
           "status": 0,
           "alertId": "22797077",
           "srcIp": null,
           "srcPort": null,
           "srcHost": "",
           "dstIp": null,
           "dstPort": null,
           "dstHost": "",
           "protocol": "",
           "username": "user@siemplify.co",
           "application": "",
           "engine": "pil01-pro-custom-us-aws",
           "extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
       }
   ]
}

Enriquecimento de entidades

N/A

Estatísticas

N/A

Case Wall

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não deve falhar nem parar a execução de um guia interativo: If found at least some data (is_success=true): "Successfully retrieved results for the query: "{constructed query}" in Devo." Se não forem encontrados resultados (is_success=false): "No results found for the query {constructed query} in Devo" (Não foram encontrados resultados para a consulta {constructed query} no Devo). A ação deve falhar e parar a execução de um guia interativo: Se forem comunicados erros na consulta: "Erro ao executar a ação "Pesquisa simples". Motivo: {message}''.format(error.Stacktrace) Se o parâmetro "Hora de início" estiver vazio e o parâmetro "Intervalo de tempo" estiver definido como "Personalizado" (falha): "Erro ao executar a ação "". Motivo: deve indicar a "Hora de início" quando selecionar "Personalizado" no parâmetro "Intervalo de tempo"." Se o valor do parâmetro "Hora de início" for superior ao valor do parâmetro "Hora de fim" (falha): "Erro ao executar a ação "". Motivo: a "Hora de fim" deve ser posterior à "Hora de início". Se for definido um valor negativo ou 0 para o parâmetro "Máximo de linhas a devolver": "Erro ao executar a ação "". Motivo: "Máximo de linhas a devolver" deve ser um número positivo diferente de zero." Se for comunicado um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Consulta simples". Motivo: {0}''.format(error.Stacktrace)	Geral
Tabela	Nome da tabela: resultados da consulta simples Colunas da tabela: todas as colunas devolvidas da resposta	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não deve falhar nem parar a execução de um guia interativo:

If found at least some data (is_success=true): "Successfully retrieved results for the query: "{constructed query}" in Devo."

Se não forem encontrados resultados (is_success=false): "No results found for the query {constructed query} in Devo" (Não foram encontrados resultados para a consulta {constructed query} no Devo).

A ação deve falhar e parar a execução de um guia interativo:

Se forem comunicados erros na consulta: "Erro ao executar a ação "Pesquisa simples". Motivo: {message}''.format(error.Stacktrace)

Se o parâmetro "Hora de início" estiver vazio e o parâmetro "Intervalo de tempo" estiver definido como "Personalizado" (falha): "Erro ao executar a ação "". Motivo: deve indicar a "Hora de início" quando selecionar "Personalizado" no parâmetro "Intervalo de tempo"."

Se o valor do parâmetro "Hora de início" for superior ao valor do parâmetro "Hora de fim" (falha): "Erro ao executar a ação "". Motivo: a "Hora de fim" deve ser posterior à "Hora de início".

Se for definido um valor negativo ou 0 para o parâmetro "Máximo de linhas a devolver": "Erro ao executar a ação "". Motivo: "Máximo de linhas a devolver" deve ser um número positivo diferente de zero."

Se for comunicado um erro fatal, como credenciais incorretas, nenhuma ligação ao servidor ou outro: "Erro ao executar a ação "Consulta simples". Motivo: {0}''.format(error.Stacktrace)

Geral

Tabela

Nome da tabela: resultados da consulta simples

Colunas da tabela: todas as colunas devolvidas da resposta

Geral

Conetores

Devo Alerts Connector

Descrição

O conetor pode ser usado para obter registos de alertas da tabela siem.logtrust.alert.info do Devo. A lista de autorizações de conetores pode ser usada para carregar apenas tipos específicos de alertas com base no valor do contexto do alerta.

Configure o conetor de alertas do Devo no Google SecOps

Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.

Parâmetros do conetor

Use os seguintes parâmetros para configurar o conector:

Nome a apresentar do parâmetro	Tipo	Valor predefinido	É obrigatório	Descrição
Nome do campo do produto	String	Devo	Sim	Introduza o nome do campo de origem para obter o nome do campo do produto.
Nome do campo de evento	String	"contexto"	Sim	Introduza o nome do campo de origem para obter o nome do campo do evento.
Nome do campo do ambiente	String	""	Não	Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido.
Padrão de regex do ambiente	String	.*	Não	Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido.
URL da API	String	https://apiv2-us.devo.com	Sim	Especifique o URL da API para a instância do Devo de destino.
Chave da API	Palavra-passe	N/A	Não	Se for usada uma autenticação baseada em tokens, especifique o token da API para a instância do Devo de destino.
Chave de API	Palavra-passe	N/A	Não	Se for usada uma autenticação de chaves de acesso, especifique a chave da API para a instância do Devo de destino.
Segredo da API	Palavra-passe	N/A	Não	Se for usada uma autenticação de chaves de acesso, especifique o segredo da API para a instância do Devo de destino.
Validar SSL	Caixa de verificação	Marcado	Não	Se estiver ativado, o servidor do Google SecOps verifica o certificado configurado para a raiz da API.
Tempo de desvio em horas	Número inteiro	24	Sim	Obter alertas de X horas anteriores.
Máximo de alertas por ciclo	Número inteiro	30	Sim	O número de alertas que devem ser processados durante uma execução do conector.
Prioridade mínima para obter	String	Normal	Sim	Prioridade mínima do alerta a ser carregado para o Google SecOps, por exemplo, Baixa ou Média. Valores possíveis: muito baixo, baixo, normal, alto, muito alto
Use a lista de autorizações como uma lista negra	Caixa de verificação	Desmarcado	Sim	Se estiver ativada, a lista de autorizações é usada como uma lista negra.

Regras do conetor

Suporte de proxy

O conetor suporta proxy.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.