[ArcSight イベントクエリ] アクティビティ
[ArcSight イベントクエリ] ワークフローアクティビティは、ArcSight イベントログを検索して、悪意のあるインジケーターを確認します。
[ArcSight イベントクエリ] アクティビティを任意のワークフローで使用して、HPE Security ArcSight Logger イベントログを検索できます。
結果
このアクティビティの考えられる結果は次のとおりです。
| 結果 | 説明 |
|---|---|
| 成功 | クエリに成功しました。 |
| 失敗 | クエリの検証中にエラーが発生しました。その他のエラー情報は、アクティビティ出力エラーで確認できます。 |
入力変数
アクティビティの初期動作が、入力変数によって決まります。
| 変数 | 説明 |
|---|---|
| ユーザー | HPE Security ArcSight Logger システムのユーザー名。 |
| password | HPE Security ArcSight Logger システムのパスワード。 |
| 観測事象 | 検索対象の Trusted Security Circles またはセキュリティインシデントタスクからの観測事象のリスト。JSON 形式で返されます。 |
| base_url | サードパーティ統合 API のベース URL。 |
| link_base_url | ArcSight Logger の検索インターフェイスへのリンク (利用可能な場合)。 |
| source | ワークフローを実行する要求のソース。サポートされている入力は Trusted Security Circles またはセキュリティインシデントタスクです。 |
| max_rows | クエリから返される最大行数。制限は、サードパーティ統合によって異なります。 |
| days_to_search | 現在の日から遡って検索する日数。デフォルトは 7 です。 |
| クエリ | 検索構文。$(observable) がデフォルトです。 |
| all_peers | ネットワークに接続されている他のすべてのロガーを検索するかどうかを決定します。 |
出力変数
出力変数には、後続のアクティビティで使用できるデータが含まれています。
| 変数 | 説明 |
|---|---|
| output | JSON 形式のクエリの出力。 |