Esta página foi traduzida pela API Cloud Translation.

Devo

Versão da integração: 8.0

Permissão de produto

O Devo oferece vários métodos de autenticação descritos no documento Credenciais de segurança, disponível na documentação do Devo.

A integração do Google Security Operations é compatível com tokens de autenticação ou chaves de acesso para autenticação.

Recomendamos configurar a autenticação baseada em token:

Acesse o documento Tokens de autenticação disponível na documentação do Devo.
Siga as etapas para criar um token. Na etapa 3, selecione Consultar dados usando a API REST.
Na etapa 4, para a tabela de destino, especifique "siem.logtrust.alert.info".

Conclua o processo de criação de acordo com a documentação para receber um token.

API

Para mais informações sobre a API, consulte o documento de referência da API disponível na documentação do Devo.

Configurar a integração do Devo no Google SecOps

Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Parâmetros de integração

Use os seguintes parâmetros para configurar a integração:

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
URL da API	String	https://apiv2-us.devo.com	Sim	Especifique a raiz da API para a instância do Devo de destino.
Token da API	Senha	N/A	Não	Se for usada uma autenticação baseada em token, especifique o token de API para a instância de destino do Devo. Se os dois forem fornecidos, a integração vai funcionar com o token da API e ignorar as chaves de acesso.
Chave de API	Senha	N/A	Não	Se uma autenticação de chaves de acesso for usada, especifique a chave de API para a instância de destino do Devo.
Chave secreta da API	Senha	N/A	Não	Se uma autenticação de chaves de acesso for usada, especifique o segredo da API para a instância de destino do Devo.
Verificar SSL	Caixa de seleção	Selecionado	Não	Se ativado, o servidor do Google SecOps verifica o certificado configurado para a raiz da API.

Casos de uso

O Devo pode ser usado como uma fonte de alertas para o Google SecOps processar.
O Devo pode ser consultado no Google SecOps para enriquecer o contexto de alertas do Google SecOps.

Ações

Ping

Descrição

Teste a conectividade com a instância do Devo usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.

Se "siem.logtrust.alert.info" não for concedido para o token de acesso gerado, a ação de ping vai falhar mesmo que o token seja válido. Para mais informações, consulte a seção Permissão do produto.

Parâmetros

N/A

Caso de uso

A ação é usada para testar a conectividade na página de configuração da integração na guia "Marketplace" do Google Security Operations e pode ser executada como uma ação manual, não usada em playbooks.

Executar em

A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/Falso	is_success=False

Resultado do JSON

N/A

Enriquecimento de entidades

N/A

Insights

N/A

Painel de casos

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: Se a conexão for bem-sucedida: "Conexão bem-sucedida com a instância do Devo usando os parâmetros fornecidos" A ação precisa falhar e interromper a execução de um playbook: Se não for possível: "Não foi possível se conectar ao servidor LogRhythm! O erro é {0}".format(exception.stacktrace)	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se a conexão for bem-sucedida: "Conexão bem-sucedida com a instância do Devo usando os parâmetros fornecidos"

A ação precisa falhar e interromper a execução de um playbook:

Se não for possível: "Não foi possível se conectar ao servidor LogRhythm! O erro é {0}".format(exception.stacktrace)

Geral

Consulta avançada

Descrição

Executa uma consulta avançada com base nos parâmetros fornecidos. A ação não funciona em entidades do Google SecOps. Para consultar uma tabela diferente de "siem.logtrust.alert.info", crie um token adicional para ela seguindo o documento Tokens de autenticação disponível na documentação do Devo e especifique-o na página de configuração da integração.

Parâmetros

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Consulta	String	N/A	Sim	Especifique uma consulta para executar na instância do Devo. Exemplo: "from siem.logtrust.alert.info".
Período	DDL	Última hora Valores possíveis: Última hora Últimas 6 horas Últimas 24 horas Última semana Mês anterior Personalizado	Não	Especifique um período para os resultados. Se "Personalizado" estiver selecionado, você também precisará informar o parâmetro "Horário de início".
Horário de início	String	N/A	Não	Especifique o horário de início da consulta. Esse parâmetro é obrigatório se "Personalizado" for selecionado para o parâmetro "Período". Formato: ISO 8601 Exemplo: 2021-08-05T05:18:42Z
Horário de término	String	N/A	Não	Especifique o horário de término da consulta. Se nada for fornecido e "Personalizado" for selecionado para o parâmetro "Período", esse parâmetro usará a hora atual. Formato: ISO 8601 Exemplo: 2021-08-05T05:18:42Z
Número máximo de linhas a serem retornadas	Número inteiro	50	Não	Especifique o número máximo de linhas que a ação deve retornar.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/Falso	is_success=False

Resultado do JSON

{
   "msg": "",
   "timestamp": 1630483519438,
   "cid": "01a5d92a25ba",
   "status": 0,
   "object": [
       {
           "eventdate": 1619452643049,
           "alertHost": "backoffice",
           "domain": "siemplify",
           "priority": 7.0,
           "context": "my.alert.siemplify.500",
           "category": "my.context",
           "status": 0,
           "alertId": "22797077",
           "srcIp": null,
           "srcPort": null,
           "srcHost": "",
           "dstIp": null,
           "dstPort": null,
           "dstHost": "",
           "protocol": "",
           "username": "user@siemplify.co",
           "application": "",
           "engine": "pil01-pro-custom-us-aws",
           "extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
       }
   ]
}

Enriquecimento de entidades

N/A

Insights

N/A

Painel de casos

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: Se alguns dados forem encontrados (is_success=true): "Os resultados da consulta fornecida no Devo foram recuperados com sucesso." Se nenhum resultado for encontrado (is_success=false): "Nenhum resultado encontrado para a consulta fornecida no Devo". A ação precisa falhar e interromper a execução de um playbook: Se houver erros na consulta: "Erro ao executar a ação "Pesquisa avançada". Motivo: {message}''.format(error.Stacktrace) Se o parâmetro "Horário de início" estiver vazio e o parâmetro "Período" estiver definido como "Personalizado" (falha): "Erro ao executar a ação "". Motivo: "Horário de início" precisa ser informado quando "Personalizado" é selecionado no parâmetro "Período". Se o valor do parâmetro "Horário de início" for maior que o valor do parâmetro "Horário de término" (falha): "Erro ao executar a ação "". Motivo: "Horário de término" precisa ser posterior a "Horário de início". Se um valor negativo ou 0 for definido para o parâmetro Máximo de linhas a serem retornadas: "Erro ao executar a ação "". Motivo: "Máximo de linhas a serem retornadas" precisa ser um número positivo e diferente de zero." Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Consulta avançada". Motivo: {0}''.format(error.Stacktrace)	Geral
Tabela	Nome da tabela:resultados da consulta avançada Colunas da tabela: Todas as colunas retornadas da resposta.	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se alguns dados forem encontrados (is_success=true): "Os resultados da consulta fornecida no Devo foram recuperados com sucesso."

Se nenhum resultado for encontrado (is_success=false): "Nenhum resultado encontrado para a consulta fornecida no Devo".

A ação precisa falhar e interromper a execução de um playbook:

Se houver erros na consulta: "Erro ao executar a ação "Pesquisa avançada". Motivo: {message}''.format(error.Stacktrace)

Se o parâmetro "Horário de início" estiver vazio e o parâmetro "Período" estiver definido como "Personalizado" (falha): "Erro ao executar a ação "". Motivo: "Horário de início" precisa ser informado quando "Personalizado" é selecionado no parâmetro "Período".

Se o valor do parâmetro "Horário de início" for maior que o valor do parâmetro "Horário de término" (falha): "Erro ao executar a ação "". Motivo: "Horário de término" precisa ser posterior a "Horário de início".

Se um valor negativo ou 0 for definido para o parâmetro Máximo de linhas a serem retornadas: "Erro ao executar a ação "". Motivo: "Máximo de linhas a serem retornadas" precisa ser um número positivo e diferente de zero."

Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Consulta avançada". Motivo: {0}''.format(error.Stacktrace)

Geral

Tabela

Nome da tabela:resultados da consulta avançada

Colunas da tabela:

Todas as colunas retornadas da resposta.

Geral

Consulta simples

Descrição

Execute uma consulta simples com base nos parâmetros fornecidos. Essa ação não funciona em entidades do Google SecOps. Para consultar uma tabela diferente de "siem.logtrust.alert.info", crie um token adicional para ela seguindo o documento Tokens de autenticação disponível na documentação do Devo e especifique-o na página de configuração da integração.

Parâmetros

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Nome da tabela	String	siem.logtrust.alert.info	Sim	Especifique a tabela que será consultada.
Campos a serem retornados	CSV	N/A	Não	Especifique os campos que serão retornados. Se nada for fornecido, a ação vai retornar todos os campos.
Cláusula WHERE	String	N/A	Não	Especifique o filtro "Where" para a consulta que precisa ser executada.
Período	DDL	Última hora Valores possíveis: Última hora Últimas 6 horas Últimas 24 horas Última semana Mês anterior Personalizado	Não	Especifique um período para os resultados. Se "Personalizado" estiver selecionado, você também precisará informar o parâmetro "Horário de início".
Horário de início	String	N/A	Não	Especifique o horário de início da consulta. Esse parâmetro é obrigatório se "Personalizado" for selecionado para o parâmetro "Período". Formato: ISO 8601 Exemplo: 2021-08-05T05:18:42Z
Horário de término	String	N/A	Não	Especifique o horário de término da consulta. Se nada for fornecido e "Personalizado" for selecionado para o parâmetro "Período", esse parâmetro usará a hora atual. Formato: ISO 8601. Exemplo: 2021-08-05T05:18:42Z
Número máximo de linhas a serem retornadas	Número inteiro	50	Não	Especifique o número máximo de linhas que a ação deve retornar.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/Falso	is_success=False

Resultado do JSON

{
   "msg": "",
   "timestamp": 1630483519438,
   "cid": "01a5d92a25ba",
   "status": 0,
   "object": [
       {
           "eventdate": 1619452643049,
           "alertHost": "backoffice",
           "domain": "siemplify",
           "priority": 7.0,
           "context": "my.alert.siemplify.500",
           "category": "my.context",
           "status": 0,
           "alertId": "22797077",
           "srcIp": null,
           "srcPort": null,
           "srcHost": "",
           "dstIp": null,
           "dstPort": null,
           "dstHost": "",
           "protocol": "",
           "username": "user@siemplify.co",
           "application": "",
           "engine": "pil01-pro-custom-us-aws",
           "extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
       }
   ]
}

Enriquecimento de entidades

N/A

Insights

N/A

Painel de casos

Tipo de resultado	Valor/descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: Se alguns dados forem encontrados (is_success=true): "Os resultados da consulta "{constructed query}" foram recuperados com sucesso no Devo." Se nenhum resultado for encontrado (is_success=false): "Nenhum resultado encontrado para a consulta {constructed query} no Devo". A ação precisa falhar e interromper a execução de um playbook: Se forem informados erros na consulta: "Erro ao executar a ação "Pesquisa simples". Motivo: {message}''.format(error.Stacktrace) Se o parâmetro "Horário de início" estiver vazio e o parâmetro "Período" estiver definido como "Personalizado" (falha): "Erro ao executar a ação "". Motivo: "Horário de início" precisa ser informado quando "Personalizado" é selecionado no parâmetro "Período". Se o valor do parâmetro "Horário de início" for maior que o valor do parâmetro "Horário de término" (falha): "Erro ao executar a ação". Motivo: "Horário de término" precisa ser posterior a "Horário de início". Se um valor negativo ou 0 for definido para o parâmetro "Número máximo de linhas a serem retornadas": "Erro ao executar a ação "". Motivo: "Número máximo de linhas a serem retornadas" precisa ser um número positivo e diferente de zero." Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Consulta simples". Motivo: {0}''.format(error.Stacktrace)	Geral
Tabela	Nome da tabela:resultados de consultas simples Colunas da tabela:todas as colunas retornadas da resposta	Geral

Tipo de resultado

Valor/descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

Se alguns dados forem encontrados (is_success=true): "Os resultados da consulta "{constructed query}" foram recuperados com sucesso no Devo."

Se nenhum resultado for encontrado (is_success=false): "Nenhum resultado encontrado para a consulta {constructed query} no Devo".

A ação precisa falhar e interromper a execução de um playbook:

Se forem informados erros na consulta: "Erro ao executar a ação "Pesquisa simples". Motivo: {message}''.format(error.Stacktrace)

Se o valor do parâmetro "Horário de início" for maior que o valor do parâmetro "Horário de término" (falha): "Erro ao executar a ação". Motivo: "Horário de término" precisa ser posterior a "Horário de início".

Se um valor negativo ou 0 for definido para o parâmetro "Número máximo de linhas a serem retornadas": "Erro ao executar a ação "". Motivo: "Número máximo de linhas a serem retornadas" precisa ser um número positivo e diferente de zero."

Se um erro fatal, como credenciais incorretas, falta de conexão com o servidor ou outro, for informado: "Erro ao executar a ação "Consulta simples". Motivo: {0}''.format(error.Stacktrace)

Geral

Tabela

Nome da tabela:resultados de consultas simples

Colunas da tabela:todas as colunas retornadas da resposta

Geral

Conectores

Conector de alertas do Devo

Descrição

O conector pode ser usado para buscar registros de alertas da tabela siem.logtrust.alert.info do Devo. A lista de permissões do conector pode ser usada para ingerir apenas tipos específicos de alertas com base no valor do contexto do alerta.

Configurar o conector de alertas do Devo no Google SecOps

Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.

Parâmetros do conector

Use os seguintes parâmetros para configurar o conector:

Nome de exibição do parâmetro	Tipo	Valor padrão	É obrigatório	Descrição
Nome do campo do produto	String	Devo	Sim	Insira o nome do campo de origem para recuperar o nome do campo do produto.
Nome do campo do evento	String	"context"	Sim	Insira o nome do campo de origem para recuperar o nome do campo de evento.
Nome do campo de ambiente	String	""	Não	Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão.
Padrão de regex do ambiente	String	.*	Não	Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.
URL da API	String	https://apiv2-us.devo.com	Sim	Especifique o URL da API para a instância de destino do Devo.
Token da API	Senha	N/A	Não	Se for usada uma autenticação baseada em token, especifique o token de API para a instância de destino do Devo.
Chave de API	Senha	N/A	Não	Se uma autenticação de chaves de acesso for usada, especifique a chave de API para a instância de destino do Devo.
Chave secreta da API	Senha	N/A	Não	Se uma autenticação de chaves de acesso for usada, especifique o segredo da API para a instância de destino do Devo.
Verificar SSL	Caixa de seleção	Selecionado	Não	Se ativado, o servidor do Google SecOps verifica o certificado configurado para a raiz da API.
Tempo de ajuste em horas	Número inteiro	24	Sim	Buscar alertas das últimas X horas.
Máximo de alertas por ciclo	Número inteiro	30	Sim	Número de alertas que precisam ser processados durante uma execução do conector.
Prioridade mínima para buscar	String	Normal	Sim	Prioridade mínima do alerta a ser ingerido no Google SecOps, por exemplo, "Baixa" ou "Média". Valores possíveis: muito baixo, baixo, normal, alto, muito alto
Usar a lista de permissões como uma lista de proibições	Caixa de seleção	Desmarcado	Sim	Se ativada, a lista de permissões será usada como uma lista de bloqueios.

Regras de conector

Suporte a proxy

O conector é compatível com proxy.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.