Activité de requête d’événement McAfee ESM
L’activité de workflow de requête d’événement McAfee ESM recherche des indicateurs malveillants dans les journaux d’événements McAfee ESM.
L’activité de requête d’événement McAfee ESM peut être utilisée avec n’importe quel workflow pour effectuer des recherches dans les journaux d’événements HPE Security ArcSight Logger.
Résultats
Les résultats possibles pour cette activité sont les suivants :
| Résultat | Description |
|---|---|
| Réussite | Requête réussie. |
| Échec | Une erreur s’est produite lors de la tentative de vérification de la requête. Plus d’informations sur l’erreur sont disponibles dans l’erreur de sortie d’activité. |
Variables d'entrée
Les variables d'entrée déterminent le comportement initial de l'activité.
| Variable | Description |
|---|---|
| utilisateur | Nom d’utilisateur du système McAfee ESM. |
| mot de passe | Mot de passe du système McAfee ESM. |
| observables | Syntaxe de recherche. $(observable) est la valeur par défaut. |
| base_url | URL de base de l’API d’intégration tierce. |
| link_base_url | Lien vers une interface Web McAfee, lorsqu’elle est disponible. |
| observables | Liste des observables ou Trusted Security Circles de la tâche d’incident de sécurité à rechercher. Renvoyé au format JSON. |
| requête | Syntaxe de recherche. $(observable) est la valeur par défaut. |
| max_rows | Nombre maximal de lignes à renvoyer à partir de la requête. La limite dépend de l’intégration tierce. |
| days_to_search | Jours pour rechercher à partir du jour actuel dans l’envers. La valeur par défaut est 7. |
| source | Source de la demande d’exécution du workflow. Les entrées prises en charge sont : Trusted Security Circles ou la tâche d’incident de sécurité. |
Variables de sortie
Les variables de sortie contiennent des données qui peuvent être utilisées dans les activités suivantes.
| Variable | Description |
|---|---|
| output | Sortie de la requête au format JSON. |