Devo
整合版本:8.0
產品權限
Devo 提供多種驗證方法,詳情請參閱 Devo 說明文件中的「安全憑證」一文。
Google Security Operations 整合功能支援使用驗證權杖或存取金鑰進行驗證。
建議您設定權杖式驗證:
- 前往 Devo 說明文件中的「驗證權杖」文件。
- 按照步驟建立權杖,並在步驟 3 選取「使用 REST API 查詢資料」。
- 在步驟 4 中,為目標資料表指定「siem.logtrust.alert.info」。
按照說明文件完成建立程序,即可取得權杖。
API
如要進一步瞭解 API,請參閱 Devo 說明文件中的 API 參考資料文件。
在 Google SecOps 中設定 Devo 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| API 網址 | 字串 | https://apiv2-us.devo.com | 是 | 指定目標 Devo 執行個體的 API 根目錄。 |
| API 權杖 | 密碼 | 不適用 | 否 | 如果使用權杖式驗證,請指定目標 Devo 執行個體的 API 權杖。 如果同時提供權杖和存取金鑰,整合功能會使用 API 權杖,並忽略存取金鑰。 |
| API 金鑰 | 密碼 | 不適用 | 否 | 如果使用存取金鑰驗證,請指定目標 Devo 執行個體的 API 金鑰。 |
| API 密鑰 | 密碼 | 不適用 | 否 | 如果使用存取金鑰驗證,請指定目標 Devo 執行個體的 API 密鑰。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 否 | 啟用後,Google SecOps 伺服器會檢查為 API 根目錄設定的憑證。 |
應用實例
- Google SecOps 可將 Devo 做為快訊來源,以便處理快訊。
- 您可以從 Google SecOps 查詢 Devo,以豐富 Google SecOps 快訊背景資訊。
動作
乒乓
說明
使用 Google Security Operations Marketplace 分頁中整合設定頁面提供的參數,測試與 Devo 執行個體的連線。
如果產生的存取權杖未獲授權「siem.logtrust.alert.info」,即使權杖有效,Ping 動作也會失敗。詳情請參閱「產品權限」一節。
參數
不適用
用途
這項動作用於在 Google Security Operations Marketplace 分頁的整合設定頁面中測試連線,可做為手動動作執行,但不會用於應對手冊。
執行時間
動作不會在實體上執行,也沒有強制輸入參數。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
N/A
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果成功:「Successfully connected to the Devo instance with the provided connection parameters!」(已使用提供的連線參數,成功連線至 Devo 執行個體!) 動作應會失敗並停止執行應對手冊: 如果未成功:「Failed to connect to the LogRhythm server! Error is {0}".format(exception.stacktrace) |
一般 |
進階查詢
說明
根據提供的參數執行進階查詢。請注意,這項動作不適用於 Google SecOps 實體。如要查詢 siem.logtrust.alert.info 以外的資料表,請按照 Devo 說明文件中的「驗證權杖」一節,為該資料表建立額外權杖,並在整合設定頁面中指定該權杖。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 查詢 | 字串 | 不適用 | 是 | 指定要對 Devo 執行個體執行的查詢。 例如:「from siem.logtrust.alert.info」。 |
| 時間範圍 | DDL | 過去 1 小時 可能的值:
|
否 | 指定結果的時間範圍。 如果選取「自訂」,您也需要提供「開始時間」參數。 |
| 開始時間 | 字串 | 不適用 | 否 | 指定查詢的開始時間。 如果為「時間範圍」參數選取「自訂」,則必須提供這個參數。 格式:ISO 8601 範例:2021-08-05T05:18:42Z |
| 結束時間 | 字串 | 不適用 | 否 | 指定查詢的結束時間。 如果未提供任何值,且「時間範圍」參數選取「自訂」,則這個參數會使用目前時間。 格式:ISO 8601 範例:2021-08-05T05:18:42Z |
| 要傳回的列數上限 | 整數 | 50 | 否 | 指定動作應傳回的資料列數量上限。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"msg": "",
"timestamp": 1630483519438,
"cid": "01a5d92a25ba",
"status": 0,
"object": [
{
"eventdate": 1619452643049,
"alertHost": "backoffice",
"domain": "siemplify",
"priority": 7.0,
"context": "my.alert.siemplify.500",
"category": "my.context",
"status": 0,
"alertId": "22797077",
"srcIp": null,
"srcPort": null,
"srcHost": "",
"dstIp": null,
"dstPort": null,
"dstHost": "",
"protocol": "",
"username": "user@siemplify.co",
"application": "",
"engine": "pil01-pro-custom-us-aws",
"extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
}
]
}
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果找到至少部分資料 (is_success=true):「已成功擷取 Devo 中所提供查詢的結果。」 如果找不到任何結果 (is_success=false):「No results found for the provided query in Devo.」 動作應會失敗並停止執行應對手冊: 如果查詢回報錯誤:「執行『進階搜尋』動作時發生錯誤。原因:{message}''.format(error.Stacktrace) 如果「開始時間」參數為空白,且「時間範圍」參數設為「自訂」(失敗):「執行動作『』時發生錯誤。原因:在『時間範圍』參數中選取『自訂』時,應提供『開始時間』。」 如果「開始時間」參數的值大於「結束時間」參數的值 (失敗):「執行動作時發生錯誤」。原因:「結束時間」應晚於「開始時間」。 如果為「要傳回的最大資料列數」參數設定負值或 0:「執行動作時發生錯誤」。原因:「要傳回的最大資料列數」應為正數,且不得為零。 如果系統回報嚴重錯誤,例如憑證錯誤、無法連線至伺服器或其他錯誤:「執行『進階查詢』動作時發生錯誤。原因:{0}''.format(error.Stacktrace) |
一般 |
| 資料表 | 資料表名稱:進階查詢結果 資料表資料欄: 回應傳回的所有資料欄。 |
一般 |
簡單查詢
說明
根據提供的參數執行簡單的查詢。請注意,這項動作不適用於 Google SecOps 實體。如要查詢 siem.logtrust.alert.info 以外的資料表,請按照 Devo 說明文件中的「驗證權杖」一節,為該資料表建立額外權杖,並在整合設定頁面中指定該權杖。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 資料表名稱 | 字串 | siem.logtrust.alert.info | 是 | 指定要查詢的資料表。 |
| 要傳回的欄位 | CSV | 不適用 | 否 | 指定要傳回的欄位。 如未提供任何內容,動作會傳回所有欄位。 |
| Where 篩選條件 | 字串 | 不適用 | 否 | 為需要執行的查詢指定 Where 篩選器。 |
| 時間範圍 | DDL | 過去 1 小時 可能的值: 過去 1 小時 過去 6 小時內 最近 24 小時 上週 上個月 自訂 |
否 | 指定結果的時間範圍。 如果選取「自訂」,您也需要提供「開始時間」參數。 |
| 開始時間 | 字串 | 不適用 | 否 | 指定查詢的開始時間。 如果為「時間範圍」參數選取「自訂」,則必須提供這個參數。 格式:ISO 8601 範例:2021-08-05T05:18:42Z |
| 結束時間 | 字串 | 不適用 | 否 | 指定查詢的結束時間。 如果未提供任何值,且「時間範圍」參數選取「自訂」,則這個參數會使用目前時間。 格式:ISO 8601 範例:2021-08-05T05:18:42Z |
| 要傳回的列數上限 | 整數 | 50 | 否 | 指定動作應傳回的資料列數量上限。 |
執行時間
這項操作不會對實體執行。
動作執行結果
指令碼執行結果
| 指令碼結果名稱 | 值選項 | 範例 |
|---|---|---|
| is_success | True/False | is_success=False |
JSON 結果
{
"msg": "",
"timestamp": 1630483519438,
"cid": "01a5d92a25ba",
"status": 0,
"object": [
{
"eventdate": 1619452643049,
"alertHost": "backoffice",
"domain": "siemplify",
"priority": 7.0,
"context": "my.alert.siemplify.500",
"category": "my.context",
"status": 0,
"alertId": "22797077",
"srcIp": null,
"srcPort": null,
"srcHost": "",
"dstIp": null,
"dstPort": null,
"dstHost": "",
"protocol": "",
"username": "user@siemplify.co",
"application": "",
"engine": "pil01-pro-custom-us-aws",
"extraData": "{\"count\":\"13\",\"eventdate\":\"2021-04-26+15%3A56%3A30.0\"}"
}
]
}
實體擴充
不適用
深入分析
不適用
案件總覽
| 結果類型 | 值/說明 | 類型 |
|---|---|---|
| 輸出訊息* | 動作不應失敗,也不應停止執行應對手冊: 如果找到至少一些資料 (is_success=true):「已成功在 Devo 中擷取查詢『{constructed query}』的結果。」 如果找不到任何結果 (is_success=false):「No results found for the query {constructed query} in Devo」(在 Devo 中找不到與查詢「{constructed query}」相符的結果)。 動作應會失敗並停止執行應對手冊: 如果查詢中出現錯誤:「執行動作『簡單搜尋』時發生錯誤。原因:{message}''.format(error.Stacktrace) 如果「開始時間」參數為空白,且「時間範圍」參數設為「自訂」(失敗):「執行動作時發生錯誤」。原因:「時間範圍」參數選取「自訂」時,應提供「開始時間」。 如果「開始時間」參數的值大於「結束時間」參數的值 (失敗):「執行動作時發生錯誤」。原因:「結束時間」應晚於「開始時間」。 如果為「要傳回的最多列數」參數設定負值或 0:「執行動作時發生錯誤」。原因:「要傳回的最多列數」應為正數,且不得為零。 如果系統回報嚴重錯誤,例如認證錯誤、無法連線至伺服器或其他錯誤:「Error executing action "Simple Query". 原因:{0}''.format(error.Stacktrace) |
一般 |
| 資料表 | 資料表名稱:簡單查詢結果 表格欄:回應傳回的所有欄 |
一般 |
連接器
Devo 警報連接器
說明
連接器可用於從 Devo 的 siem.logtrust.alert.info 資料表擷取警示記錄。連接器白名單可用於根據快訊內容值,只擷取特定類型的快訊。
在 Google SecOps 中設定 Devo 警報連接器
如需在 Google SecOps 中設定連接器的詳細操作說明,請參閱設定連接器。
連接器參數
請使用下列參數設定連接器:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 產品欄位名稱 | 字串 | Devo | 是 | 輸入來源欄位名稱,即可擷取產品欄位名稱。 |
| 事件欄位名稱 | 字串 | "context" | 是 | 輸入來源欄位名稱,即可擷取事件欄位名稱。 |
| 環境欄位名稱 | 字串 | "" | 否 | 說明儲存環境名稱的欄位名稱。 如果找不到環境欄位,環境就是預設環境。 |
| 環境規則運算式模式 | 字串 | .* | 否 | 要對「環境欄位名稱」欄位中的值執行的 regex 模式。 預設值為 .*,可擷取所有內容並傳回未變更的值。 用於允許使用者透過規則運算式邏輯操控環境欄位。 如果 regex 模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
| API 網址 | 字串 | https://apiv2-us.devo.com | 是 | 指定目標 Devo 執行個體的 API 網址。 |
| API 權杖 | 密碼 | 不適用 | 否 | 如果使用權杖式驗證,請指定目標 Devo 執行個體的 API 權杖。 |
| API 金鑰 | 密碼 | 不適用 | 否 | 如果使用存取金鑰驗證,請指定目標 Devo 執行個體的 API 金鑰。 |
| API 密鑰 | 密碼 | 不適用 | 否 | 如果使用存取金鑰驗證,請指定目標 Devo 執行個體的 API 密鑰。 |
| 驗證 SSL | 核取方塊 | 已勾選 | 否 | 啟用後,Google SecOps 伺服器會檢查為 API 根目錄設定的憑證。 |
| 時差 (以小時為單位) | 整數 | 24 | 是 | 擷取 X 小時前的快訊。 |
| 每個週期最多可發出的快訊數 | 整數 | 30 | 是 | 單一連接器執行期間應處理的快訊數量。 |
| 要擷取的最低優先順序 | 字串 | 一般 | 是 | 要擷取至 Google SecOps 的快訊最低優先順序,例如「低」或「中」。 可能的值:非常低、低、正常、高、非常高 |
| 將許可清單當做封鎖清單使用 | 核取方塊 | 已取消勾選 | 是 | 啟用後,系統會將許可清單視為封鎖清單。 |
連接器規則
Proxy 支援
連接器支援 Proxy。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。