Aktivität „ArcSight-Ereignisabfrage“.
Die Workflow-Aktivität „ ArcSight Event Query“ durchsucht die ArcSight-Ereignisprotokolle nach schädlichen Indikatoren.
Die Aktivität „ ArcSight Event Query “ kann mit jedem Workflow zum Durchsuchen der HPE Security ArcSight Logger-Ereignisprotokolle verwendet werden.
Ergebnisse
Mögliche Ergebnisse für diese Aktivität sind:
| Ergebnis | Beschreibung |
|---|---|
| Erfolg | Abfrage erfolgreich. |
| Fehler | Beim Versuch, die Abfrage zu überprüfen, ist ein Fehler aufgetreten. Weitere Fehlerinformationen sind im Aktivitätsausgabefehler verfügbar. |
Eingabevariablen
Eingabevariablen bestimmen das anfängliche Verhalten der Aktivität.
| Variable | Beschreibung |
|---|---|
| Anwender | Anwendername für das HPE Security ArcSight Logger-System. |
| Kennwort | Passwort für das HPE Security ArcSight Logger-System. |
| Erkennbare Elemente | Die Liste der erkennbaren Elemente aus Vertrauenswürdige Sicherheitskreise oder die Security Incident-Aufgabe, nach der gesucht werden soll. Wird im JSON-Format zurückgegeben. |
| base_url | Basis-URL der API der Drittpartei-Integration. |
| link_base_url | Link zu einer ArcSight Logger-Suchoberfläche, falls verfügbar. |
| Quelle | Quelle der Anforderung zum Ausführen des Workflows. Folgende Eingaben werden unterstützt: Vertrauenswürdige Sicherheitskreise oder Security Incident-Aufgabe. |
| max_rows | Maximale Anzahl von Zeilen, die von der Abfrage zurückgegeben werden sollen. Der Grenzwert hängt von der Drittparteiintegration ab. |
| days_to_search | Tage, für die ab dem aktuellen Tag rückwärts gesucht werden soll. Der Standardwert ist 7. |
| query | Suchsyntax. $(observable) ist der Standardwert. |
| all_peers | Bestimmt, ob alle anderen im Netzwerk verbundenen Protokollierungen durchsucht werden sollen. |
Ausgabevariablen
Die Ausgabevariablen enthalten Daten, die in nachfolgenden Aktivitäten verwendet werden können.
| Variable | Beschreibung |
|---|---|
| Ausgabe | Ausgabe der Abfrage im JSON-Format. |