CSV
Versi integrasi: 31.0
Prasyarat izin
Untuk mengelola file menggunakan integrasi, Anda harus memiliki izin yang benar. Jalankan perintah berikut untuk memberikan izin yang benar untuk folder: chown scripting:scripting "directory_path"
Mengonfigurasi integrasi CSV di Google Security Operations
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Tindakan
Menyimpan JSON ke CSV
Deskripsi
Menyimpan objek JSON ke CSV.
Parameter
| Nama parameter | Jenis | Nilai default | Wajib | Deskripsi |
|---|---|---|---|---|
| Objek JSON | JSON | T/A | Ya | Menentukan objek JSON yang akan disimpan sebagai CSV. |
| Timpa | Boolean | Salah | Tidak | Jika diaktifkan, tindakan ini akan menimpa file yang ada. |
| Jalur File | String | T/A | Ya | Menentukan jalur file absolut untuk file CSV yang baru dibuat. Jika hanya nama file yang diberikan, tindakan akan menyimpan file di folder /tmp/. |
Run On
T/A
Hasil Tindakan
Hasil Skrip
| Nama hasil skrip | Nilai |
|---|---|
| is_success | Benar/Salah |
Hasil JSON
{"filepath": "{file name}"}
Repositori Kasus
Tindakan ini memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
| Berhasil mengubah objek JSON dan menyimpannya ke jalur file yang diberikan. | Tindakan berhasil. |
| File tidak ditemukan untuk jalur yang diberikan. | File tidak ada. |
| Tidak ada aktivitas yang ditemukan untuk akun layanan yang diberikan di Google Cloud Policy Intelligence | Tindakan tidak dapat menemukan data untuk akun layanan yang tercantum. |
| Terjadi error saat menjalankan tindakan "Simpan JSON Ke CSV". | Tindakan menampilkan error. Periksa koneksi ke server, parameter input, atau kredensial. |
Menelusuri menurut String
Deskripsi
Menelusuri string dalam file CSV.
Parameter
| Nama Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jalur CSV | String | T/A | Ya | Tentukan jalur file ke file CSV atau jalur folder yang berisi semua file CSV. Jika folder disediakan, tindakan akan melakukan iterasi pada semua file CSV dalam folder. |
| Kolom CSV | String | T/A | Tidak | Tentukan daftar kolom yang dipisahkan koma yang dapat berisi informasi entity. Jika tidak ada yang diberikan, tindakan akan menelusuri semua kolom. |
| Mundur Beberapa Hari | String | 10 | Tidak | Tentukan jumlah hari ke belakang untuk memproses file CSV. |
| Nilai Penelusuran | String | T/A | Tidak | Tentukan string yang perlu ditelusuri. Jika "Telusuri Beberapa String" diaktifkan, parameter ini diperlakukan sebagai daftar string yang dipisahkan koma yang perlu ditelusuri. |
| Hanya menampilkan baris pertama. | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, tindakan hanya akan menampilkan 1 baris dalam file pertama yang cocok dengan entitas. |
| Jenis Encoding File | String | utf-8, latin-1, iso-8859-1 | Ya | Jenis encoding CSV daftar yang dipisahkan koma yang digunakan untuk mendekode file CSV Anda, misalnya utf-8, latin-1, iso-8859-1, utf-16... Urutan jenis encoding yang diberikan menetapkan urutan penggunaannya untuk mendekode file, misalnya (dari contoh di atas) utf-8 memiliki prioritas tertinggi dan akan digunakan terutama untuk mendekode semua file. Jika ada file CSV yang menggunakan encoding lain, maka encoding berikutnya dalam urutan: latin-1 akan digunakan, dan seterusnya, hingga encoding terakhir digunakan. |
| Menelusuri Beberapa String | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, "Nilai Penelusuran" akan berfungsi sebagai daftar nilai yang dipisahkan koma, bukan sebagai string tunggal. |
| Kolom yang Akan Ditampilkan | CSV | T/A | Tidak | Tentukan daftar nilai yang dipisahkan koma yang perlu ditampilkan. |
Kasus penggunaan
Menelusuri string dalam file CSV.
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| count_rows_csv | Jumlah baris berapa pun | count_rows += 1 |
Hasil JSON
[
{
"EntityResult": {
"Field2": "Value2",
"Field3": "Value3",
"Field1": "Value1",
"Field4": "Value4",
"Field5": "Value5"
},
"Entity": "host"
}, {
"EntityResult": {
"Field2": "Value2",
"Field3": "Value3",
"Field1": "Value1",
"Field4": "Value4",
"Field5": "Value5"
}, "Entity": "1.1.1.1"
}
]
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Untuk rekaman yang ditemukan: "Berhasil menemukan informasi tentang string berikut: \n (search_string)" Jika tidak ada data yang ditemukan untuk beberapa string: "Tindakan tidak dapat menemukan informasi tentang string berikut:" Jika tidak ada keberhasilan untuk setiap data: "Tidak ada informasi yang ditemukan untuk item yang diberikan." Jika semua encoding tidak valid: "Error saat menjalankan tindakan "Penelusuran CSV menurut String". Encoding yang diberikan tidak valid. Periksa ejaan." |
Umum |
Menelusuri menurut Entitas
Deskripsi
Menelusuri entitas dalam file CSV dan memperkayanya.
Parameter
| Nama Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jalur CSV | String | T/A | Ya | Tentukan jalur file ke file CSV atau jalur folder yang berisi semua file CSV. Jika folder disediakan, tindakan akan melakukan iterasi pada semua file CSV dalam folder. |
| Kolom CSV | String | T/A | Ya | Tentukan daftar kolom yang dipisahkan koma yang dapat berisi informasi entity. Jika tidak ada yang diberikan, tindakan akan menelusuri semua kolom. |
| Hari Sebelumnya | String | 10 | Ya | Tentukan jumlah hari ke belakang untuk memproses file CSV. |
| Tandai Sebagai Mencurigakan | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, tindakan akan menandai entitas sebagai mencurigakan, jika ditemukan dalam file. |
| Hanya menampilkan baris pertama. | Kotak centang | Tidak dicentang | Tidak | Jika diaktifkan, tindakan hanya akan menampilkan 1 baris dalam file pertama yang cocok dengan entitas. |
| Jenis Encoding File | String | utf-8, latin-1, iso-8859-1 | Ya | Jenis encoding CSV daftar yang dipisahkan koma yang digunakan untuk mendekode file CSV Anda, misalnya utf-8, latin-1, iso-8859-1, utf-16... Urutan jenis encoding yang diberikan menetapkan urutan penggunaannya untuk mendekode file, misalnya (dari contoh di atas) utf-8 memiliki prioritas tertinggi dan akan digunakan terutama untuk mendekode semua file. Jika ada file CSV yang menggunakan encoding lain, maka encoding berikutnya dalam urutan: latin-1 akan digunakan, dan seterusnya, hingga encoding terakhir digunakan. |
| Memperkaya Entitas | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan menambahkan informasi dari file CSV dan menambahkannya ke tabel pengayaan entitas. |
| Buat Insight | Kotak centang | Dicentang | Tidak | Jika diaktifkan, tindakan akan membuat insight, jika entitas ditemukan dalam file. |
| Kolom yang Akan Ditampilkan | CSV | T/A | Tidak | Tentukan daftar nilai yang dipisahkan koma yang perlu ditampilkan. |
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| count_rows_csv | Jumlah baris berapa pun | count_rows += 1 |
Hasil JSON
[
{
"EntityResult": [{
"domain": "example.dom",
"fileHash": "cbbc5aea3d4c7ec193aa2ff3b52df36ebb12338b18c9bb53fc4896115efaf78d",
"reporter": "Symantec Antivirus",
"app": "Arcsight",
"id": "1011",
"eventTime": "9/4/2017 10:00",
"antivirusAction": "blocked",
"virusName": "ECAT",
"rule": "malicious",
"eventName": "Virus detected",
"User": "Ziv",
"eventHostName": "WS-ZivDevComp",
"File Source Path": "C:\\\\Users\\\\Default\\\\Desktop\\\\stringTimeRaw.csv",
"machineAddress": "192.168.11.11"
}, {
"domain": "SmartCompany.dom",
"fileHash": "cbbc5aea3d4c7ec193aa2ff3b52df36ebb12338b18c9bb53fc4896115efaf78d",
"reporter": "Symantec Antivirus",
"app": "ESM",
"id": "1012",
"eventTime": "9/4/2017 10:00",
"antivirusAction": "allowed",
"virusName": "ECAT",
"rule": "malicious",
"eventName": "Virus detected",
"User": "GG",
"eventHostName": "WS-GGDevComp",
"File Source Path": "C:\\\\Users\\\\Default\\\\Desktop\\\\stringTimeRaw.csv",
"machineAddress": "192.168.11.11"
}],
"Entity": "192.168.11.11"
}
]
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Untuk entitas yang ditemukan: "Berhasil menemukan informasi tentang entitas berikut: \n (entity.identifier)" Untuk entitas yang tidak ditemukan: "Tidak ada informasi yang ditemukan tentang entitas berikut: \n (entity.identifier)" Jika tidak ada keberhasilan untuk setiap entitas: "Tidak ada informasi yang ditemukan untuk entitas yang diberikan." Jika semua encoding tidak valid: "Error saat menjalankan tindakan "Penelusuran CSV menurut String". Encoding yang diberikan tidak valid. Periksa ejaan." |
Umum |
Ping
Deskripsi
Uji Konektivitas.
Parameter
T/A
Run On
Tindakan ini dijalankan di semua entity.
Hasil Tindakan
Hasil Skrip
T/A
Hasil JSON
N/A
Konektor
Konektor CSV
Deskripsi
Mengambil data dari file CSV yang berada di folder tertentu, dan mengonversi data ini menjadi pemberitahuan dalam sistem Google SecOps.
Topik ini menggambarkan mekanisme dan konfigurasi yang digunakan Google SecOps untuk menghasilkan file CSV beserta alur kerja yang didukung dan tindakan yang dilakukan dalam platform.
Kasus penggunaan
Pelanggan memiliki CSV yang berasal dari sistem, dan file tersebut dapat berasal dari encoding yang berbeda.
* Add support for comma-separated encodings in the Encoding field in the
connector.
* The connector should try the different encodings by their order in
the field (first encoding - highest priority, last - lowest
priority) with try/except. If no matching encoding was found -
consider the file as an error and notify.
* Put a default value for the fields - a list of most common CSV
encodings by priority (utf8, latin1, and iso...)
Akses ke file CSV
Akses Google SecOps ke file CSV: siapkan folder untuk file CSV.
Penerusan Rekaman CSV ke Google SecOps
Bekerja dengan rekaman file CSV
Saat mengonfigurasi Google SecOps untuk memproses file CSV sebagai sumber pemberitahuan, Anda akan diminta untuk memberikan folder tertentu tempat CSV akan diambil. Google SecOps akan mengambil semua catatan dalam file CSV dan meneruskannya untuk diterjemahkan, serta diberi konteks sebagai pemberitahuan untuk kasus.
Cara memetakan tingkat keparahan di konektor
Untuk memetakan tingkat keparahan, Anda harus menentukan kolom yang akan digunakan untuk mendapatkan nilai tingkat keparahan dalam parameter "Nama Kolom Tingkat Keparahan". Dalam respons, Anda bisa mendapatkan 3 jenis nilai: bilangan bulat, float, dan string. Untuk bilangan bulat dan float, Anda tidak perlu melakukan konfigurasi tambahan apa pun. Konektor akan membaca nilai tersebut dan memetakannya sesuai dengan standar Google SecOps. Pengingat singkat tentang cara nilai bilangan bulat dipetakan:
- 100 - Kritis
- 100 > x >= 80 Tinggi
- 80 > x >=60 Sedang
- 60 > x >=40 Rendah
- 40 > x Informasi
Jika dalam respons, kita bekerja dengan string, maka konfigurasi tambahan diperlukan. Di folder tempat skrip konektor berada, Anda akan memiliki file konfigurasi bernama severity_map_config.json. File ini menentukan aturan pemetaan untuk tingkat keparahan.
Awalnya, file akan terlihat seperti ini: 1 2 3 { "Default": 50 }
Bayangkan situasi saat nilai yang diperlukan berada di event.severity. event.severity dapat berisi nilai berikut: "Malicious", "Benign", "Unknown".
Pertama, kita harus menentukan dalam parameter "Severity Field Name" bahwa kita akan menggunakan event.severity. Kedua, kita harus memperbarui file konfigurasi. Setelah perubahan,
file severity_map_config.json akan terlihat seperti ini: 1 2 3 4 5 6 7 8 {
"event.severity": { "Malicious": 100, "Unknown": 60, "Benign": -1 }, "Default":
50 }
Sekarang, saat konektor mendapatkan peristiwa dengan event.severity = "Malicious", konektor akan memberikan tingkat keparahan Kritis.
Mengonfigurasi Konektor CSV di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | device_product | Ya | Nama kolom yang digunakan untuk menentukan produk perangkat. |
| Nama Kolom Peristiwa | String | nama | Tidak | Nama kolom yang digunakan untuk menentukan nama peristiwa (sub-jenis). |
| Waktu Tunggu Skrip (Detik) | String | 60 | Ya | Batas waktu tunggu (dalam detik) untuk proses python yang menjalankan skrip saat ini. |
| Jalur Folder CSV | String | T/A | Ya | Jalur folder yang berisi semua file CSV yang perlu di-ingest. |
| Batas CSV | String | T/A | Tidak | Jumlah file CSV yang akan diproses per satu iterasi. |
| Nama Kolom Pembuat Aturan | String | T/A | Tidak | Nama kolom yang berisi informasi tentang generator aturan. |
| Nama Kolom Waktu | String | T/A | Tidak | Nama kolom yang berisi informasi tentang waktu peristiwa. |
| CSV Memiliki Header | Kotak centang | Dicentang | Ya | Menunjukkan apakah file CSV memiliki header. |
| Jenis Encoding File | String | utf-8 | Ya | Tetapkan jenis encoding CSV, misalnya iso-8859-1, latin1, utf-8, utf-16. |
| Nama Kolom Pemberitahuan | String | T/A | Tidak | Nama kolom yang berisi informasi tentang nama pemberitahuan. |
| Nama Kolom Tingkat Keparahan | String | T/A | Tidak | Nama kolom yang berisi informasi tentang tingkat keparahan. |
Aturan Konektor
Dukungan Proxy
Konektor tidak mendukung Proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.