Questa pagina è stata tradotta dall'API Cloud Translation.

CSV

Versione integrazione: 31.0

Prerequisiti per le autorizzazioni

Per lavorare con i file utilizzando l'integrazione, devi disporre delle autorizzazioni corrette. Esegui questo comando per fornire le autorizzazioni corrette per una cartella: chown scripting:scripting "directory_path"

Configura l'integrazione CSV in Google Security Operations

Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.

Parametri di integrazione

Utilizza i seguenti parametri per configurare l'integrazione:

Nome visualizzato del parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome istanza	Stringa	N/D	No	Nome dell'istanza per cui intendi configurare l'integrazione.
Descrizione	Stringa	N/D	No	Descrizione dell'istanza.
Esegui da remoto	Casella di controllo	Deselezionata	No	Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente).

Azioni

Salva JSON in CSV

Descrizione

Salva un oggetto JSON in formato CSV.

Parametri

Nome parametro	Tipo	Valore predefinito	Obbligatorio	Descrizione
Oggetto JSON	JSON	N/D	Sì	Specifica l'oggetto JSON da salvare come CSV.
Sovrascrivi	Booleano	Falso	No	Se abilitata, l'azione sovrascrive il file esistente.
Percorso file	Stringa	N/D	Sì	Specifica il percorso assoluto del file per il file CSV appena creato. Se viene fornito solo il nome del file, l'azione lo memorizza in una cartella `/tmp/`.

Run On

N/D

Risultati dell'azione

Risultato script

Nome del risultato dello script	Valore
is_success	Vero/Falso

Risultato JSON

{"filepath": "{file name}"}

Bacheca casi

L'azione fornisce i seguenti messaggi di output:

Messaggio di output	Descrizione del messaggio
L'oggetto JSON è stato trasformato e salvato correttamente nel percorso del file fornito.	L'azione è stata eseguita correttamente.
Il file non è stato trovato per il percorso fornito.	Il file non esiste.
Non è stata trovata alcuna attività per gli account di servizio forniti in Google Cloud Policy Intelligence	L'azione non ha trovato dati per nessuno dei service account elencati.
Errore durante l'esecuzione dell'azione "Salva JSON in CSV".	L'azione ha restituito un errore. Controlla la connessione al server, i parametri di input o le credenziali.

Cerca per stringa

Descrizione

Cerca stringhe nei file CSV.

Parametri

Nome parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Percorso CSV	Stringa	N/D	Sì	Specifica il percorso del file CSV o di una cartella che contiene tutti i file CSV. Se viene fornita una cartella, l'azione scorrerà tutti i file CSV della cartella.
Colonna CSV	Stringa	N/D	No	Specifica un elenco separato da virgole di colonne che possono contenere informazioni sulle entità. Se non viene fornito alcun valore, l'azione eseguirà la ricerca in tutte le colonne.
Giorni indietro	Stringa	10	No	Specifica quanti giorni indietro elaborare i file CSV.
Valore di ricerca	Stringa	N/D	No	Specifica una stringa da cercare. Se l'opzione "Cerca più stringhe" è attivata, questo parametro viene trattato come un elenco di stringhe separate da virgole in cui eseguire la ricerca.
Restituisci solo la prima riga.	Casella di controllo	Deselezionata	No	Se abilitata, l'azione restituirà solo una riga nel primo file che corrisponde all'entità.
Tipi di codifica dei file	Stringa	utf-8, latin-1, iso-8859-1	Sì	Un elenco separato da virgole dei tipi di codifica CSV utilizzati per decodificare i file CSV, ad esempio utf-8, latin-1, iso-8859-1, utf-16... L'ordine in cui vengono forniti i tipi di codifica determina l'ordine in cui vengono utilizzati per decodificare i file.Ad esempio (dall'esempio precedente), UTF-8 ha la priorità più alta e verrà utilizzato principalmente per decodificare tutti i file. Se esiste un file CSV che utilizza un'altra codifica, verrà utilizzata la codifica successiva nell'ordine, ovvero Latin-1, e così via, fino all'utilizzo dell'ultima codifica.
Cerca più stringhe	Casella di controllo	Deselezionata	No	Se abilitata, "Valore ricerca" funzionerà come un elenco di valori separati da virgole, anziché come una singola stringa.
Campi da restituire	CSV	N/D	No	Specifica un elenco di valori separati da virgole che devono essere restituiti.

Casi d'uso

Cerca stringhe nei file CSV.

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
count_rows_csv	Qualsiasi numero di righe	count_rows += 1

Risultato JSON

[
    {
        "EntityResult": {
            "Field2": "Value2",
            "Field3": "Value3",
            "Field1": "Value1",
            "Field4": "Value4",
            "Field5": "Value5"
        },
        "Entity": "host"
    }, {
        "EntityResult": {
            "Field2": "Value2",
            "Field3": "Value3",
            "Field1": "Value1",
            "Field4": "Value4",
            "Field5": "Value5"
        }, "Entity": "1.1.1.1"
    }
]

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	Per i record trovati: "Informazioni trovate correttamente sulle seguenti stringhe: \n (search_string)" Se non vengono trovati record per alcune stringhe: "L'azione non è riuscita a trovare informazioni sulle seguenti stringhe:" Se non è stato trovato alcun risultato per ogni record: "Non sono state trovate informazioni per gli elementi forniti". Se tutte le codifiche non sono valide: "Errore durante l'esecuzione dell'azione "Ricerca CSV per stringa". Le codifiche fornite non sono valide. Controlla l'ortografia."	Generale

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

Per i record trovati: "Informazioni trovate correttamente sulle seguenti stringhe: \n (search_string)"

Se non vengono trovati record per alcune stringhe: "L'azione non è riuscita a trovare informazioni sulle seguenti stringhe:"

Se non è stato trovato alcun risultato per ogni record: "Non sono state trovate informazioni per gli elementi forniti".

Se tutte le codifiche non sono valide: "Errore durante l'esecuzione dell'azione "Ricerca CSV per stringa". Le codifiche fornite non sono valide. Controlla l'ortografia."

Generale

Ricerca per entità

Descrizione

Cerca entità nei file CSV e arricchiscile.

Parametri

Nome parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Percorso CSV	Stringa	N/D	Sì	Specifica il percorso del file CSV o di una cartella che contiene tutti i file CSV. Se viene fornita una cartella, l'azione scorrerà tutti i file CSV della cartella.
Colonna CSV	Stringa	N/D	Sì	Specifica un elenco separato da virgole di colonne che possono contenere informazioni sulle entità. Se non viene fornito alcun valore, l'azione eseguirà la ricerca in tutte le colonne.
Giorni precedenti	Stringa	10	Sì	Specifica quanti giorni indietro elaborare i file CSV.
Contrassegna come sospetto	Casella di controllo	Deselezionata	No	Se attivata, l'azione contrassegnerà l'entità come sospetta, se è stata trovata nel file.
Restituisci solo la prima riga.	Casella di controllo	Deselezionata	No	Se abilitata, l'azione restituirà solo una riga nel primo file che corrisponde all'entità.
Tipi di codifica dei file	Stringa	utf-8, latin-1, iso-8859-1	Sì	Un elenco separato da virgole dei tipi di codifica CSV utilizzati per decodificare i file CSV, ad esempio utf-8, latin-1, iso-8859-1, utf-16... L'ordine in cui vengono forniti i tipi di codifica determina l'ordine in cui vengono utilizzati per decodificare i file.Ad esempio (dall'esempio precedente), UTF-8 ha la priorità più alta e verrà utilizzato principalmente per decodificare tutti i file. Se esiste un file CSV che utilizza un'altra codifica, verrà utilizzata la codifica successiva nell'ordine, ovvero Latin-1, e così via, fino all'utilizzo dell'ultima codifica.
Arricchisci entità	Casella di controllo	Selezionata	No	Se attivata, l'azione aggiungerà le informazioni dal file CSV e le inserirà nella tabella di arricchimento dell'entità.
Crea approfondimento	Casella di controllo	Selezionata	No	Se attivata, l'azione creerà un approfondimento se l'entità è stata trovata nel file.
Campi da restituire	CSV	N/D	No	Specifica un elenco di valori separati da virgole che devono essere restituiti.

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato script

Nome del risultato dello script	Opzioni di valore	Esempio
count_rows_csv	Qualsiasi numero di righe	count_rows += 1

Risultato JSON

[
    {
        "EntityResult": [{
            "domain": "example.dom",
            "fileHash": "cbbc5aea3d4c7ec193aa2ff3b52df36ebb12338b18c9bb53fc4896115efaf78d",
            "reporter": "Symantec Antivirus",
            "app": "Arcsight",
            "id": "1011",
            "eventTime": "9/4/2017 10:00",
            "antivirusAction": "blocked",
            "virusName": "ECAT",
            "rule": "malicious",
            "eventName": "Virus detected",
            "User": "Ziv",
            "eventHostName": "WS-ZivDevComp",
            "File Source Path": "C:\\\\Users\\\\Default\\\\Desktop\\\\stringTimeRaw.csv",
            "machineAddress": "192.168.11.11"
        }, {
            "domain": "SmartCompany.dom",
            "fileHash": "cbbc5aea3d4c7ec193aa2ff3b52df36ebb12338b18c9bb53fc4896115efaf78d",
            "reporter": "Symantec Antivirus",
            "app": "ESM",
            "id": "1012",
            "eventTime": "9/4/2017 10:00",
            "antivirusAction": "allowed",
            "virusName": "ECAT",
            "rule": "malicious",
            "eventName": "Virus detected",
            "User": "GG",
            "eventHostName": "WS-GGDevComp",
            "File Source Path": "C:\\\\Users\\\\Default\\\\Desktop\\\\stringTimeRaw.csv",
            "machineAddress": "192.168.11.11"
        }],
        "Entity": "192.168.11.11"
    }
]

Bacheca casi

Tipo di risultato	Valore / Descrizione	Tipo
Messaggio di output*	Per le entità trovate: "Informazioni trovate correttamente sulle seguenti entità: \n (entity.identifier)" Per le entità non trovate: "Non sono state trovate informazioni sulle seguenti entità: \n (entity.identifier)" Se non è stato trovato alcun risultato per ogni entità: "Non sono state trovate informazioni per le entità fornite." Se tutte le codifiche non sono valide: "Errore durante l'esecuzione dell'azione "Ricerca CSV per stringa". Le codifiche fornite non sono valide. Controlla l'ortografia."	Generale

Tipo di risultato

Valore / Descrizione

Tipo

Messaggio di output*

Per le entità trovate: "Informazioni trovate correttamente sulle seguenti entità: \n (entity.identifier)"

Per le entità non trovate: "Non sono state trovate informazioni sulle seguenti entità: \n (entity.identifier)"

Se non è stato trovato alcun risultato per ogni entità: "Non sono state trovate informazioni per le entità fornite."

Se tutte le codifiche non sono valide: "Errore durante l'esecuzione dell'azione "Ricerca CSV per stringa". Le codifiche fornite non sono valide. Controlla l'ortografia."

Generale

Dindin

Descrizione

Testa la connettività.

Parametri

N/D

Run On

Questa azione viene eseguita su tutte le entità.

Risultati dell'azione

Risultato script

N/D

Risultato JSON

N/A

Connettori

Connettore CSV

Descrizione

Recupera i dati dai file CSV che si trovano in una cartella specifica e convertili in avvisi nel sistema Google SecOps.

Questo argomento illustra il meccanismo e la configurazione in base ai quali Google SecOps produce file CSV insieme ai flussi di lavoro supportati e alle azioni intraprese all'interno della piattaforma.

Casi d'uso

Un cliente ha file CSV provenienti da un sistema e i file potrebbero avere codifiche diverse.

*   Add support for comma-separated encodings in the Encoding field in the
    connector.
    *   The connector should try the different encodings by their order in
        the field (first encoding - highest priority, last - lowest
        priority) with try/except. If no matching encoding was found -
        consider the file as an error and notify.
    *   Put a default value for the fields - a list of most common CSV
        encodings by priority (utf8, latin1, and iso...)

Accesso ai file CSV

Accesso di Google SecOps ai file CSV: configura una cartella per i file CSV.

Inoltro dei record CSV a Google SecOps

Utilizzare i record dei file CSV

Quando configuri Google SecOps per l'utilizzo di file CSV come origine degli avvisi, ti verrà chiesto di fornire una cartella specifica da cui verranno recuperati i file CSV. Google SecOps recupererà qualsiasi record all'interno di un file CSV e lo inoltrerà per la traduzione e la contestualizzazione come avvisi per le richieste.

Come mappare la gravità nel connettore

Per mappare la gravità, devi specificare quale campo deve essere utilizzato per ottenere il valore della gravità nel parametro "Nome campo gravità". Nella risposta puoi ottenere tre tipi di valori: numeri interi, numeri in virgola mobile e stringhe. Per i numeri interi e in virgola mobile, non è necessaria alcuna configurazione aggiuntiva. Il connettore leggerà questi valori e li mapperà in base agli standard Google SecOps. Un breve promemoria su come vengono mappati i valori interi:

100 - Critico
100 > x >= 80 Alto
80 > x >=60 Medio
60 > x >=40 Bassa
40 > x Informazioni

Se nella risposta utilizziamo stringhe, è necessaria una configurazione aggiuntiva. Nella cartella in cui si trovano gli script del connettore, avrai un file di configurazione denominato severity_map_config.json. Questo file definisce le regole di mappatura per la gravità.

Inizialmente, il file avrà questo aspetto: 1 2 3 { "Default": 50 }

Immagina una situazione in cui i valori necessari si trovano in event.severity. event.severity può contenere i seguenti valori: "Malicious", "Benign", "Unknown".

Innanzitutto, dobbiamo specificare nel parametro "Nome campo gravità" che utilizzeremo event.severity. In secondo luogo, dobbiamo aggiornare il file di configurazione. Dopo le modifiche, il file severity_map_config.json dovrebbe avere il seguente aspetto: 1 2 3 4 5 6 7 8 { "event.severity": { "Malicious": 100, "Unknown": 60, "Benign": -1 }, "Default": 50 }

Ora, quando il connettore riceverà un evento con event.severity = "Malicious", gli verrà assegnata la gravità Critica.

Configurare il connettore CSV in Google SecOps

Per istruzioni dettagliate su come configurare un connettore in Google SecOps, vedi Configurazione del connettore.

Parametri del connettore

Utilizza i seguenti parametri per configurare il connettore:

Nome parametro	Tipo	Valore predefinito	È obbligatorio	Descrizione
Nome campo prodotto	Stringa	device_product	Sì	Il nome del campo utilizzato per determinare il prodotto del dispositivo.
Nome campo evento	Stringa	nome	No	Il nome del campo utilizzato per determinare il nome dell'evento (sottotipo).
Timeout dello script (secondi)	Stringa	60	Sì	Il limite di timeout (in secondi) per il processo Python che esegue lo script corrente.
Percorso cartella CSV	Stringa	N/D	Sì	Il percorso della cartella che contiene tutti i file CSV da importare.
Limite CSV	Stringa	N/D	No	Il numero di file CSV da elaborare per iterazione.
Nome campo del generatore di regole	Stringa	N/D	No	Nome del campo che contiene informazioni sul generatore di regole.
Nome campo temporale	Stringa	N/D	No	Nome del campo che contiene informazioni sull'ora dell'evento.
CSV Has Header	Casella di controllo	Selezionata	Sì	Indica se il file CSV ha un'intestazione.
Tipo di codifica dei file	Stringa	utf-8	Sì	Imposta il tipo di codifica CSV, ad esempio iso-8859-1, latin1, utf-8, utf-16.
Nome campo avviso	Stringa	N/D	No	Nome del campo che contiene informazioni sul nome dell'avviso.
Nome campo gravità	Stringa	N/D	No	Nome del campo che contiene informazioni sulla gravità. Nota:puoi mappare la gravità in base ai valori nella risposta. Per farlo, devi andare alla cartella di esecuzione del connettore e modificare severity_mapping_config.json. Consulta la documentazione per riferimento.

Regole del connettore

Supporto proxy

Il connettore non supporta il proxy.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.