Activité de requête d’événement ArcSight
L’activité de workflow ArcSight Event Query recherche des indicateurs malveillants dans les journaux d’événements ArcSight.
L’activité ArcSight Event Query peut être utilisée avec n’importe quel workflow pour effectuer des recherches dans les journaux d’événements HPE Security ArcSight Logger.
Résultats
Les résultats possibles pour cette activité sont les suivants :
| Résultat | Description |
|---|---|
| Succès | La requête a réussi. |
| Échec | Une erreur s’est produite lors de la tentative de vérification de la requête. D’autres informations sur l’erreur sont disponibles dans l’erreur de sortie d’activité. |
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| utilisateur | Nom d’utilisateur du système HPE Security ArcSight Logger. |
| mot de passe | Mot de passe pour le système HPE Security ArcSight Logger. |
| observables | Liste des observables de Trusted Security Circles ou de la tâche d’incident de sécurité à rechercher. Renvoyé au format JSON. |
| base_url | URL de base de l’API d’intégration tierce. |
| link_base_url | Lien vers une interface de recherche ArcSight Logger, lorsqu’elle est disponible. |
| source | Source de la demande d’exécution du workflow. Les entrées prises en charge sont : Trusted Security Circles ou tâche d’incident de sécurité. |
| max_rows | Nombre maximal de lignes à renvoyer à partir de la requête. La limite dépend de l’intégration tierce. |
| days_to_search | Jours pour effectuer une recherche à partir du jour actuel en arrière. La valeur par défaut est 7. |
| query | Syntaxe de la recherche. $(observable) est la valeur par défaut. |
| all_peers | Détermine s’il convient de rechercher tous les autres enregistreurs connectés au réseau. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| sortie | Sortie de la requête au format JSON. |