Atividade de consulta de evento do McAfee ESM
A atividade de fluxo de trabalho Consulta de eventos do McAfee ESM pesquisa indicadores maliciosos nos logs de eventos do McAfee ESM.
A atividade Consulta de eventos do McAfee ESM pode ser usada com qualquer fluxo de trabalho para pesquisar os logs de eventos do HPE Security ArcSight Logger.
Resultados
Os resultados possíveis para esta atividade são:
| Resultado | Descrição |
|---|---|
| Êxito | Consulta bem-sucedida. |
| Falha | Ocorreu um erro ao tentar verificar a consulta. Mais informações de erro estão disponíveis no erro de saída da atividade. |
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| usuário | Nome de usuário do sistema McAfee ESM. |
| senha | Senha do sistema McAfee ESM. |
| observáveis | Sintaxe de pesquisa. $(observable) é o padrão. |
| base_url | URL base da API de integração de terceiros. |
| link_base_URL | Link para uma interface da web do McAfee, quando disponível. |
| observáveis | A lista de observáveis de Círculos de segurança confiável ou a tarefa de incidente de segurança a ser pesquisada. Retornado no formato JSON. |
| consulta | Sintaxe de pesquisa. $(observable) é o padrão. |
| max_rows | Máximo de linhas a serem retornadas da consulta. O limite depende da integração de terceiros. |
| dias_para_pesquisa | Dias para pesquisar a partir do dia atual. O padrão é 7. |
| origem | Origem da solicitação para executar o fluxo de trabalho. As entradas compatíveis são: Círculos de segurança confiável ou tarefa de incidente de segurança. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| saída | Saída da consulta no formato JSON. |