Atividade de consulta de evento do McAfee ESM
A atividade de fluxo de trabalho Consulta de evento do McAfee ESM pesquisa os logs de eventos do McAfee ESM em busca de indicadores maliciosos.
A atividade de consulta de evento do McAfee ESM pode ser usada com qualquer fluxo de trabalho para pesquisar os logs de eventos do HPE Security ArcSight Logger.
Resultados
Os resultados possíveis para esta atividade são:
| Resultado | Descrição |
|---|---|
| Êxito | Consulta bem-sucedida. |
| Falha | Ocorreu um erro ao tentar verificar a consulta. Mais informações de erro estão disponíveis no erro de saída da atividade. |
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| usuário | Nome de usuário do sistema McAfee ESM. |
| password | Senha para o sistema McAfee ESM. |
| observáveis | Sintaxe de pesquisa. $(observable) é o padrão. |
| base_url | URL base da API de integração de terceiros. |
| link_base_URL | Link para uma interface web da McAfee, quando disponível. |
| observáveis | A lista de observáveis de Trusted Security Circles ou a tarefa de incidente de segurança a ser pesquisada. Retornado no formato JSON. |
| consulta | Sintaxe de pesquisa. $(observable) é o padrão. |
| max_rows | Máximo de linhas a serem retornadas da consulta. O limite depende da integração de terceiros. |
| days_to_search | Dias para pesquisar a partir do dia atual para trás. O padrão é 7. |
| fonte | Origem da solicitação para executar o fluxo de trabalho. As entradas compatíveis são: Trusted Security Circles ou tarefa de incidente de segurança. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| saída | Saída da consulta no formato JSON. |