Atividade de consulta de evento do ArcSight
A atividade de fluxo de trabalho Consulta de evento do ArcSight pesquisa os logs de eventos do ArcSight em busca de indicadores mal-intencionados.
A atividade de consulta de evento do ArcSight pode ser usada com qualquer fluxo de trabalho para pesquisar os logs de eventos do HPE Security ArcSight Logger.
Resultados
Os resultados possíveis para esta atividade são:
| Resultado | Descrição |
|---|---|
| Êxito | Consulta bem-sucedida. |
| Falha | Ocorreu um erro ao tentar verificar a consulta. Mais informações de erro estão disponíveis no erro de saída da atividade. |
Variáveis de entrada
As variáveis de entrada determinam o comportamento inicial da atividade.
| Variável | Descrição |
|---|---|
| usuário | Nome de usuário do sistema HPE Security ArcSight Logger. |
| password | Senha para o sistema HPE Security ArcSight Logger. |
| observáveis | A lista de observáveis de Trusted Security Circles ou a tarefa de incidente de segurança a ser pesquisada. Retornado no formato JSON. |
| base_url | URL base da API de integração de terceiros. |
| link_base_URL | Link para uma interface de pesquisa do ArcSight Logger, quando disponível. |
| fonte | Origem da solicitação para executar o fluxo de trabalho. As entradas compatíveis são: Trusted Security Circles ou tarefa de incidente de segurança. |
| max_rows | Máximo de linhas a serem retornadas da consulta. O limite depende da integração de terceiros. |
| days_to_search | Dias para pesquisar a partir do dia atual para trás. O padrão é 7. |
| consulta | Sintaxe de pesquisa. $(observable) é o padrão. |
| all_peers | Determina se todos os outros agentes conectados à rede devem ser pesquisados. |
Variáveis de saída
As variáveis de saída contêm dados que podem ser usados em atividades subsequentes.
| Variável | Descrição |
|---|---|
| saída | Saída da consulta no formato JSON. |