Devo
集成版本:8.0
产品权限
Devo 提供了多种身份验证方法,如 Devo 文档中的安全凭据文档中所述。
Google Security Operations 集成支持使用身份验证令牌或访问密钥进行身份验证。
建议配置基于令牌的身份验证:
- 前往 Devo 文档中的身份验证令牌文档。
- 按照有关如何创建令牌的步骤操作,在第 3 步中选择使用 REST API 查询数据。
- 在第 4 步中,为目标表指定“siem.logtrust.alert.info”。
按照文档完成创建流程,以获取令牌。
API
如需详细了解 API,请参阅 Devo 文档中提供的 API 参考文档。
在 Google SecOps 中配置 Devo 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成参数
使用以下参数配置集成:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| API 网址 | 字符串 | https://apiv2-us.devo.com | 是 | 为目标 Devo 实例指定 API 根。 |
| API 令牌 | 密码 | 不适用 | 否 | 如果使用基于令牌的身份验证,请指定目标 Devo 实例的 API 令牌。 如果同时提供令牌和访问密钥,集成功能将使用 API 令牌,并忽略访问密钥。 |
| API 密钥 | 密码 | 不适用 | 否 | 如果使用访问密钥进行身份验证,请指定目标 Devo 实例的 API 密钥。 |
| API 密钥 | 密码 | 不适用 | 否 | 如果使用访问密钥进行身份验证,请指定目标 Devo 实例的 API 密钥。 |
| 验证 SSL | 复选框 | 勾选 | 否 | 如果启用,Google SecOps 服务器会检查为 API 根目录配置的证书。 |
使用场景
- Devo 可用作 Google SecOps 要处理的提醒的来源。
- 可以从 Google SecOps 查询 Devo,以丰富 Google SecOps 提醒上下文。
操作
Ping
说明
使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数,测试与 Devo 实例的连接。
如果生成的访问令牌未被授予“siem.logtrust.alert.info”,即使令牌有效,Ping 操作也会失败。如需了解详情,请参阅产品权限部分。
参数
不适用
使用场景
此操作用于在 Google Security Operations Marketplace 标签页的集成配置页面中测试连接,并且可以作为手动操作执行,但不能在 playbook 中使用。
运行于
该操作不会在实体上运行,也没有强制性输入参数。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
N/A
实体扩充
不适用
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果成功:“已使用提供的连接参数成功连接到 Devo 实例!” 操作应失败并停止 playbook 执行: 如果不成功:“Failed to connect to the LogRhythm server! 错误为 {0}".format(exception.stacktrace) |
常规 |
高级查询
说明
根据提供的参数执行高级查询。请注意,此操作不适用于 Google SecOps 实体。如需查询 siem.logtrust.alert.info 以外的表,请按照 Devo 文档中的身份验证令牌文档为该表创建额外的令牌,并在集成配置页面上指定该令牌。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 查询 | 字符串 | 不适用 | 是 | 指定要针对 Devo 实例执行的查询。 示例:“from siem.logtrust.alert.info”。 |
| 时间范围 | DDL | 过去 1 小时 可能的值:
|
否 | 指定结果的时间范围。 如果选择“自定义”,您还需要提供“开始时间”参数。 |
| 开始时间 | 字符串 | 不适用 | 否 | 指定查询的开始时间。 如果为“时间范围”参数选择“自定义”,则此参数是必需的。 格式:ISO 8601 示例:2021-08-05T05:18:42Z |
| 结束时间 | 字符串 | 不适用 | 否 | 指定查询的结束时间。 如果未提供任何内容,并且为“时间范围”参数选择了“自定义”,则此参数会使用当前时间。 格式:ISO 8601 示例:2021-08-05T05:18:42Z |
| 要返回的行数上限 | 整数 | 50 | 否 | 指定操作应返回的最大行数。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"msg": "",
"timestamp": 1630483519438,
"cid": "01a5d92a25ba",
"status": 0,
"object": [
{
"eventdate": 1619452643049,
"alertHost": "backoffice",
"domain": "siemplify",
"priority": 7.0,
"context": "my.alert.siemplify.500",
"category": "my.context",
"status": 0,
"alertId": "22797077",
"srcIp": null,
"srcPort": null,
"srcHost": "",
"dstIp": null,
"dstPort": null,
"dstHost": "",
"protocol": "",
"username": "user@siemplify.co",
"application": "",
"engine": "pil01-pro-custom-us-aws",
"extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
}
]
}
实体扩充
不适用
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果找到至少一些数据 (is_success=true):“Successfully retrieved results for the provided query in Devo.” 如果未找到任何结果 (is_success=false):“在 Devo 中未找到与所提供查询相符的结果。” 操作应失败并停止 playbook 执行: 如果查询中报告了错误:“执行操作‘高级搜索’时出错。原因:{message}''.format(error.Stacktrace) 如果“开始时间”参数为空,且“时间范围”参数设置为“自定义”(失败):“执行操作“""时出错。原因:当在“时间范围”参数中选择“自定义”时,应提供“开始时间”。 如果“开始时间”参数的值大于“结束时间”参数的值(失败):“执行操作时出错。原因:“结束时间”应晚于“开始时间”。 如果为“要返回的最大行数”参数设置了负值或 0:系统会显示“执行操作时出错”。原因:“要返回的最大行数”应为正数,且不为零。 如果报告了严重错误(例如凭据错误、无法连接到服务器、其他错误):“执行操作‘高级查询’时出错。原因:{0}''.format(error.Stacktrace) |
常规 |
| 表 | 表名称:高级查询结果 表格列: 响应中返回的所有列。 |
常规 |
简单查询
说明
根据提供的参数执行简单查询。请注意,此操作不适用于 Google SecOps 实体。如需查询 siem.logtrust.alert.info 以外的表,请按照 Devo 文档中的身份验证令牌文档为该表创建额外的令牌,并在集成配置页面上指定该令牌。
参数
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 表名称 | 字符串 | siem.logtrust.alert.info | 是 | 指定应查询的表。 |
| 要返回的字段 | CSV | 不适用 | 否 | 指定要返回的字段。 如果未提供任何内容,则该操作会返回所有字段。 |
| Where 过滤条件 | 字符串 | 不适用 | 否 | 为需要执行的查询指定 Where 过滤条件。 |
| 时间范围 | DDL | 过去 1 小时 可能的值: 过去 1 小时 过去 6 小时 过去 24 小时 上周 上个月 自定义 |
否 | 指定结果的时间范围。 如果选择“自定义”,您还需要提供“开始时间”参数。 |
| 开始时间 | 字符串 | 不适用 | 否 | 指定查询的开始时间。 如果为“时间范围”参数选择“自定义”,则此参数是必需的。 格式:ISO 8601 示例:2021-08-05T05:18:42Z |
| 结束时间 | 字符串 | 不适用 | 否 | 指定查询的结束时间。 如果未提供任何内容,并且为“时间范围”参数选择了“自定义”,则此参数会使用当前时间。 格式:ISO 8601 示例:2021-08-05T05:18:42Z |
| 要返回的行数上限 | 整数 | 50 | 否 | 指定操作应返回的最大行数。 |
运行于
此操作不会在实体上运行。
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 结果
{
"msg": "",
"timestamp": 1630483519438,
"cid": "01a5d92a25ba",
"status": 0,
"object": [
{
"eventdate": 1619452643049,
"alertHost": "backoffice",
"domain": "siemplify",
"priority": 7.0,
"context": "my.alert.siemplify.500",
"category": "my.context",
"status": 0,
"alertId": "22797077",
"srcIp": null,
"srcPort": null,
"srcHost": "",
"dstIp": null,
"dstPort": null,
"dstHost": "",
"protocol": "",
"username": "user@siemplify.co",
"application": "",
"engine": "pil01-pro-custom-us-aws",
"extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
}
]
}
实体扩充
不适用
数据分析
不适用
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果找到至少一些数据(is_success=true):“Successfully retrieved results for the query: "{constructed query}" in Devo.” 如果未找到任何结果 (is_success=false):“在 Devo 中未找到与查询‘{constructed query}’相符的结果”。 操作应失败并停止 playbook 执行: 如果查询中报告了错误:“执行操作‘简单搜索’时出错。原因:{message}''.format(error.Stacktrace) 如果“开始时间”参数为空,且“时间范围”参数设置为“自定义”(失败):“执行操作时出错。原因:当在‘时间范围’参数中选择‘自定义’时,应提供‘开始时间’。” 如果“开始时间”参数的值大于“结束时间”参数的值(失败):“执行操作时出错”。原因:“结束时间”应晚于“开始时间”。 如果为“要返回的最大行数”参数设置了负值或 0,则会显示以下错误消息:“执行操作时出错。原因:“要返回的最大行数”应为正数,且不为零。” 如果报告了致命错误(例如凭据错误、未连接到服务器等),则会显示以下消息:“Error executing action "Simple Query".”(执行操作“简单查询”时出错。)原因:{0}''.format(error.Stacktrace) |
常规 |
| 表 | 表名称:简单查询结果 表格列:响应中返回的所有列 |
常规 |
连接器
Devo Alerts 连接器
说明
连接器可用于从 Devo 的 siem.logtrust.alert.info 表中提取提醒记录。连接器许可名单可用于仅根据提醒上下文值注入特定类型的提醒。
在 Google SecOps 中配置 Devo Alerts 连接器
有关如何在 Google SecOps 中配置连接器的详细说明,请参阅配置连接器。
连接器参数
使用以下参数配置连接器:
| 参数显示名称 | 类型 | 默认值 | 是否为必需属性 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | Devo | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | “上下文” | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| API 网址 | 字符串 | https://apiv2-us.devo.com | 是 | 为目标 Devo 实例指定 API 网址。 |
| API 令牌 | 密码 | 不适用 | 否 | 如果使用基于令牌的身份验证,请指定目标 Devo 实例的 API 令牌。 |
| API 密钥 | 密码 | 不适用 | 否 | 如果使用访问密钥进行身份验证,请指定目标 Devo 实例的 API 密钥。 |
| API 密钥 | 密码 | 不适用 | 否 | 如果使用访问密钥进行身份验证,请指定目标 Devo 实例的 API 密钥。 |
| 验证 SSL | 复选框 | 勾选 | 否 | 如果已启用,Google SecOps 服务器会检查为 API 根目录配置的证书。 |
| 偏移时间(以小时为单位) | 整数 | 24 | 是 | 从 X 小时前开始提取提醒。 |
| 每个周期的提醒数量上限 | 整数 | 30 | 是 | 一次连接器运行期间应处理的提醒数量。 |
| 提取的最低优先级 | 字符串 | 正常 | 是 | 要提取到 Google SecOps 的提醒的最低优先级,例如“低”或“中”。 可能的值:非常低、低、正常、高、非常高 |
| 将白名单用作黑名单 | 复选框 | 尚未核查 | 是 | 如果启用,白名单将用作黑名单。 |
连接器规则
代理支持
连接器支持代理。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。