Elastica CloudSOC
Versione integrazione: 5.0
Panoramica
Configura l'integrazione di Elastica CloudSOC in Google Security Operations
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Azioni
Ottieni attività utente
Descrizione
Recupera le attività degli utenti da Symantec CloudSOC. Symantec CloudSOC fornisce informazioni dettagliate sull'attività utentei e una panoramica di come vengono utilizzate le applicazioni cloud.
Parametri
| Parametri | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Minuti indietro | Stringa | N/D | Recupera i log degli ultimi "x" minuti. Esempio: 5 |
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Utente.
Risultati dell'azione
Arricchimento delle entità
Le entità vengono contrassegnate come sospette (True) se superano la soglia. Altrimenti, False.
| Nome del campo di arricchimento | Logica: quando applicare |
|---|---|
| browser | Restituisce se esiste nel risultato JSON |
| _domain | Restituisce se esiste nel risultato JSON |
| gravità | Restituisce se esiste nel risultato JSON |
| latitude | Restituisce se esiste nel risultato JSON |
| utente | Restituisce se esiste nel risultato JSON |
| object_type | Restituisce se esiste nel risultato JSON |
| località | Restituisce se esiste nel risultato JSON |
| longitiude | Restituisce se esiste nel risultato JSON |
| dispositivo | Restituisce se esiste nel risultato JSON |
| host | Restituisce se esiste nel risultato JSON |
| user_agent | Restituisce se esiste nel risultato JSON |
| created_timestamp | Restituisce se esiste nel risultato JSON |
| event_type | Restituisce se esiste nel risultato JSON |
| messaggio | Restituisce se esiste nel risultato JSON |
| user_name | Restituisce se esiste nel risultato JSON |
| inserted_timestamp | Restituisce se esiste nel risultato JSON |
| activity_type | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_succeed | Vero/Falso | is_succeed:False |
Risultato JSON
[{
"EntityResult":
{
"browser": "Chrome",
"_domain":"siemplify.co",
"severity": "error",
"service": "Elastica",
"latitude": 32.0678,
"user": "john_doe@example.com",
"object_type": "Session",
"location": "Tel Aviv (Israel)",
"longitude": 34.7647,
"device": "Windows",
"host": "1.1.1.1",
"user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36",
"created_timestamp": "2019-01-20T07:49:14",
"event_type": "PORTAL_LOGIN_FAILURE",
"message": "Failed login attempt by user 'john_doe@example.com'", "_id": "--Fi3z-1QHewAgPiTQlvXQ",
"user_name": "Meny Har",
"inserted_timestamp": "2019-01-20T07:49:14",
"activity_type": "Failure"
},
"Entity": "john_doe@example.com"
}]
Dindin
Descrizione
Verifica la connettività al server Symantec CloudSOC.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_succeed | Vero/Falso | is_succeed:False |
Risultato JSON
N/A
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.