Intégrer Google Chronicle à Google SecOps
Version de l'intégration : 69.0
Ce document explique comment intégrer Google Chronicle à Google Security Operations (Google SecOps).
Cas d'utilisation
L'intégration de Google Chronicle peut répondre aux cas d'utilisation suivants :
Enquête et correction automatisées du hameçonnage : utilisez les fonctionnalités SOAR de Google SecOps pour interroger automatiquement les données d'e-mails historiques, les journaux d'activité des utilisateurs et les renseignements sur les menaces afin d'évaluer la légitimité des e-mails. La correction automatique peut vous aider à trier et à contenir les problèmes en empêchant la propagation de logiciels malveillants ou de violations de données.
Enrichissement des alertes de sécurité : utilisez les fonctionnalités de Google SecOps SOAR pour enrichir une alerte générée dans un SIEM avec un contexte historique, comme le comportement passé des utilisateurs et les informations sur les composants. Les analystes disposent ainsi d'une vue complète d'un incident, ce qui leur permet de prendre des décisions plus rapidement et de manière plus éclairée.
Chasse aux menaces basée sur les insights Google SecOps : utilisez les fonctionnalités SOAR de Google SecOps pour automatiser le processus d'interrogation d'autres outils de sécurité afin de trouver les indicateurs de compromission (IOC) associés. Cela peut vous aider à identifier de manière proactive les potentielles failles avant qu'elles ne prennent de l'ampleur.
Playbooks de réponse aux incidents automatisés : utilisez les fonctionnalités SOAR de Google SecOps pour déclencher des playbooks prédéfinis qui utilisent les données Google SecOps afin d'isoler les systèmes compromis, de bloquer les adresses IP malveillantes et d'informer les parties prenantes concernées. Cela peut réduire le temps de réponse aux incidents et minimiser l'impact des incidents de sécurité.
Rapports et audits de conformité : utilisez les fonctionnalités SOAR de Google SecOps pour automatiser la collecte des données de sécurité de Google SecOps pour les rapports de conformité, rationaliser le processus d'audit et réduire les efforts manuels.
Avant de commencer
Avant de configurer l'intégration Google Chronicle dans Google SecOps, assurez-vous d'avoir accès à un projetGoogle Cloud actif.
Migration de l'API Backstory vers l'API Chronicle
Certaines nouvelles fonctionnalités et actions de cette intégration ne sont compatibles qu'avec l'API Chronicle. Nous vous recommandons donc vivement de migrer votre déploiement pour utiliser les identifiants de l'API Chronicle.
Trouver la racine de l'API Chronicle
Lorsque vous accédez à l'API Chronicle, vous devez localiser le API Root unique de votre environnement pour la configuration de l'intégration.
Ouvrez les outils pour les développeurs de votre navigateur et accédez à la plate-forme Google SecOps.
Sélectionnez Investigation > Tables de données.
Dans les outils de développement, accédez à l'onglet Réseau, puis cliquez sur un élément de la colonne "Nom", par exemple
dataTables?pageSize=1000.Dans le volet d'informations, sélectionnez En-têtes, puis copiez la valeur de
Request URL, qui se trouve sous Général, en excluant le point de terminaison et les paramètres de requête (le nom de l'élément sélectionné).Par exemple, si la valeur est
https://us-chronicle.googleapis.com/v1alpha/projects/{project}/locations/{location}/instances/{instance}/dataTables?pageSize=1000, la racine de l'API exclut/dataTables?pageSize=1000et esthttps://us-chronicle.googleapis.com/v1alpha/projects/{project}/locations/{location}/instances/{instance}.
Exigences concernant les identifiants pour l'API Chronicle
L'accès à l'API Chronicle nécessite une nouvelle racine d'API et de nouvelles identifiants, qui dépendent de la façon dont votre projet Google Cloud sous-jacent est géré :
| Type de projet | Prérequis pour le certificat |
|---|---|
| Projet géré par Google (par défaut) | Contactez l'assistance Google pour provisionner les identifiants masqués nécessaires et accorder les autorisations à votre environnement. |
| Bring Your Own Project (BYOP) | Vous devez configurer manuellement un compte de service dédié dans votre projet à l'aide d'une clé JSON ou d'une identité de charge de travail, puis attribuer le rôle Chronicle API Editor. |
S'authentifier à l'aide d'une clé JSON de compte de service
L'authentification à l'aide d'une clé JSON de compte de service est compatible avec l'API Chronicle et obligatoire pour les utilisateurs BYOP qui ne choisissent pas Workload Identity.
Créez un compte de service dédié et votre clé JSON
Pour vous authentifier avec une clé JSON de compte de service, procédez comme suit pour créer votre clé JSON :
Dans la console Google Cloud , accédez à IAM et administration > Comptes de service.
Sélectionnez Créer un compte de service, puis suivez les instructions.
Sélectionnez l'adresse e-mail du nouveau compte de service, puis accédez à Clés > Ajouter une clé > Créer une clé.
Sélectionnez
JSONcomme type de clé, puis cliquez sur Créer. Un fichier de clé JSON est téléchargé sur votre ordinateur.
API Chronicle : rôle requis pour votre compte de service
Lorsque vous utilisez l'API Chronicle, votre compte de service doit disposer du rôle Chronicle API Editor.
Dans la console Google Cloud , accédez à API et services > Identifiants.
Sous Comptes de service, sélectionnez votre compte de service, puis cliquez sur Autorisations > Gérer l'accès.
Cliquez sur AjouterAjouter un rôle, puis sélectionnez le rôle
Chronicle API Editor. Cliquez sur Enregistrer.
Authentification avec Workload Identity (recommandé)
L'authentification à l'aide d'Workload Identity est la méthode recommandée et la plus sécurisée.
Pour configurer l'authentification avec Workload Identity, procédez comme suit :
Créer un compte de service
Pour créer un compte de service, procédez comme suit :
Dans la console Google Cloud , accédez à la page Identifiants.
Dans le menu Créer des identifiants, sélectionnez Compte de service.
Sous Détails du compte de service, saisissez un nom dans le champ Nom du compte de service.
Facultatif : Modifiez l'ID du compte de service.
Cliquez sur Créer et continuer. L'écran Autorisations s'affiche.
Cliquez sur Continuer. L'écran Comptes principaux avec accès s'affiche.
Cliquez sur OK.
API Chronicle : rôle requis pour votre compte de service
Lorsque vous utilisez l'API Chronicle, votre compte de service doit disposer du rôle Chronicle API Editor.
Dans la console Google Cloud , accédez à API et services > Identifiants.
Sous Comptes de service, sélectionnez votre compte de service, puis cliquez sur Autorisations > Gérer l'accès.
Cliquez sur AjouterAjouter un rôle, puis sélectionnez le rôle
Chronicle API Editor. Cliquez sur Enregistrer.
Accorder des autorisations d'emprunt d'identité à votre instance Google SecOps
Pour utiliser Workload Identity, vous devez autoriser votre instance Google SecOps à emprunter l'identité de votre compte de service. Il s'agit de la dernière étape qui permet à l'instance d'accéder de manière sécurisée aux ressources Google Cloud .
Dans Google SecOps, accédez à Marketplace > Intégrations de réponse.
Sélectionnez l'intégration que vous configurez, puis saisissez l'adresse e-mail de votre compte de service dans le champ
Workload Identity Email.Saisissez l'adresse e-mail que l'intégration doit emprunter dans le champ
Delegated Email.Cliquez sur Enregistrer > Tester. Le test devrait échouer.
Cliquez sur close_small à droite de Test et recherchez le message d'erreur
gke-init-python@YOUR_PROJECT. Copiez cette adresse e-mail unique qui identifie votre instance Google SecOps.Accédez à Comptes de service, sélectionnez votre projet, puis votre compte de service.
Sélectionnez Comptes principaux ayant accès> Ajouter > Accorder l'accès.
Sous Ajouter des comptes principaux, collez la valeur que vous avez copiée.
Sous Ajouter des rôles, sélectionnez le rôle
Service Account Token Creator(roles/iam.serviceAccountTokenCreator).
Résoudre les problèmes de connectivité à l'API Chronicle
Si vous rencontrez des problèmes pour connecter votre intégration à l'API Chronicle, suivez ces étapes pour résoudre les problèmes de configuration et d'identifiants :
- Recherchez la racine de l'API Chronicle et assurez-vous qu'elle est correctement saisie dans la configuration de l'intégration.
- Assurez-vous que tous les autres paramètres de configuration obligatoires sont correctement renseignés.
Testez la connexion. Si le test réussit, aucune autre étape n'est requise. Si le test échoue, passez à l'étape suivante.
Validez la propriété et les identifiants du projet Google Cloud :
- Projet géré par Google : si votre projet Google Cloud est géré parGoogle (déploiement par défaut), contactez l'assistance Google pour obtenir de l'aide en cas de problème d'identifiants.
- Apportez votre propre projet (BYOP) : si votre projet Google Cloud est autogéré (BYOP), vérifiez que vous avez configuré manuellement un compte de service et que vous lui avez attribué les rôles appropriés.
Paramètres d'intégration
L'intégration de Google Chronicle nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
UI Root |
Obligatoire. URL de base de l'interface Google SecOps SIEM. Il est utilisé pour générer automatiquement des liens directs vers la plate-forme SIEM à partir de vos enregistrements d'incidents. La valeur par défaut est |
API Root |
Obligatoire. Racine de l'API pour votre instance Google SecOps SIEM. La valeur dépend de votre méthode d'authentification :
|
User's Service Account |
Facultatif. Contenu complet du fichier de clé JSON du compte de service. Si ce paramètre et le paramètre Pour utiliser l'API Chronicle, vous devez fournir ce champ ou |
Workload Identity Email |
Facultatif. Adresse e-mail du client de votre fédération d'identité de charge de travail. Ce paramètre est prioritaire sur le fichier clé Pour utiliser la fédération d'identité de charge de travail, vous devez accorder le rôle |
Verify SSL |
Obligatoire. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Google SecOps SIEM. Cette option est activée par défaut. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.
Ajouter une entrée à ma liste
Utilisez l'action Ajouter une entrée à la liste de surveillance pour ajouter une entité spécifiée à une liste de surveillance Risk Analytics existante dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Ajouter à la liste de suivi nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Watchlist Name |
Obligatoire. Nom de la liste de surveillance Risk Analytics à laquelle ajouter l'entrée. |
Entry |
Obligatoire. Objet JSON représentant l'entité à ajouter à la liste de surveillance. La structure JSON requiert la valeur de l'entité, le type d'entité et un espace de noms facultatif. La valeur par défaut est la suivante :
[
{
"entity": "",
"type": "ASSET_IP_ADDRESS/MAC/HOSTNAME/PRODUCT_SPECIFIC_ID/USERNAME/EMAIL/EMPLOYEE_ID/WINDOWS_SID/PRODUCT_OBJECT_ID",
"namespace": "Optional"
}
]
|
Sorties d'action
L'action Ajouter une entrée à la liste de suivi fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Ajouter à la liste de suivi :
[
{
"namespace": "Yuriy",
"asset": {
"hostname": "koko"
}
},
{
"namespace": "Yuriy",
"asset": {
"hostname": "koko"
}
}
]
Messages de sortie
L'action Ajouter à la liste de suivi peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Add Entry To Watchlist". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter à la liste de suivi :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Ajouter des lignes au tableau de données
Utilisez l'action Ajouter des lignes à la table de données pour ajouter des lignes à une table de données dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Pour configurer l'action, utilisez les paramètres suivants :
| Paramètre | Description |
|---|---|
Data Table Name |
Obligatoire. Nom à afficher du tableau de données à mettre à jour. |
Rows |
Obligatoire. Liste d'objets JSON contenant des informations sur les lignes à ajouter. Exemple :
[
{
"columnName1": "value1",
"columnName2": "value2",
},
{
"columnName1": "value1",
"columnName2": "value2",
}
]
|
Sorties d'action
L'action Ajouter des lignes à la table de données fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Insight sur les entités | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre un exemple de résultat JSON renvoyé par l'action Ajouter des lignes à la table de données :
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
}
}
Messages de sortie
L'action Ajouter des lignes à la table de données fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
Successfully added rows to the data table
DATA_TABLE_NAME in
Google SecOps. |
L'action a réussi. |
Error executing action "Add Rows to Data Table". Reason:
ERROR_REASON |
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Ajouter des lignes à la table de données :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Ajouter des valeurs à la liste de référence
Utilisez l'action Ajouter des valeurs à la liste de référence pour ajouter des valeurs à une liste de référence dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Pour configurer l'action, utilisez les paramètres suivants :
| Paramètre | Description |
|---|---|
Reference List Name |
Obligatoire. Nom de la liste de références à mettre à jour. |
Values |
Obligatoire. Liste de valeurs séparées par une virgule à ajouter à la liste de référence. |
Sorties d'action
L'action Ajouter une valeur à la liste de référence fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Insight sur les entités | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Ajouter une valeur à la liste de référence avec l'API Backstory :
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Ajouter une valeur à la liste de référence avec l'API Chronicle :
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_NAME",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Messages de sortie
L'action Ajouter des valeurs à la liste de référence fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
Successfully added values to the reference list
REFERENCE_LIST_NAME. |
L'action a réussi. |
Error executing action "Add Values To Reference List". Reason:
ERROR_REASON |
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Ajouter des valeurs à la liste de référence :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Demander à Gemini
Utilisez l'action Demander à Gemini pour envoyer une requête textuelle à Gemini dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Pour configurer l'action, utilisez les paramètres suivants :
| Paramètre | Description |
|---|---|
Automatic Opt-in |
Facultatif. Si cette option est sélectionnée, le playbook active automatiquement la conversation Gemini pour l'utilisateur sans nécessiter de confirmation manuelle. Cette option est activée par défaut. |
Prompt |
Obligatoire. Requête ou question textuelle initiale à envoyer à Gemini. |
Sorties d'action
L'action Demander à Gemini fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Insight sur les entités | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Demander à Gemini :
{
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/users/me/conversations/db3b0fc2-94f8-42ae-b743-c3693f593269/messages/b58e3186-e697-4400-9da8-8ef252a20bd9",
"input": {
"body": "Is IP 159.138.84.217 malicious? What can you tell me about it?"
},
"responses": [
{
"blocks": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<p>The IP address 159.138.84.217 is associated with malware and threat actors.</p>\n<ul>\n<li>It is an IPv4 indicator.</li>\n<li>It is associated with BEACON malware.</li>\n<li>It is categorized as malware-Backdoor.</li>\n<li>It has a low confidence, high severity threat rating.</li>\n<li>VirusTotal's IP Address Report indicates the network for this IP is 159.138.80.0/20, and the IP is associated with HUAWEI CLOUDS in Singapore.</li>\n<li>VirusTotal's last analysis on April 22, 2025, showed 8 malicious detections out of 94 sources.</li>\n</ul>\n<p>I might have more details for a question with more context (e.g., what is the source of the IP, what type of network traffic is associated with the IP).</p>\n"
}
}
],
"references": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<ol>\n<li><a href=\"https://advantage.mandiant.com/indicator/ipv4/159.138.84.217\" target=\"_blank\">Mandiant - indicator - 159.138.84.217</a></li>\n</ol>\n"
}
}
],
"groundings": [
"IP address 159.138.84.217 malicious cybersecurity",
"IP address 159.138.84.217 threat intelligence"
]
}
],
"createTime": "2025-05-16T11:31:36.660538Z"
}
}
Messages de sortie
L'action Demander à Gemini fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
Successfully executed a prompt in Google SecOps. |
L'action a réussi. |
Error executing action "GoogleChronicle - Ask Gemini".
Reason: ERROR_REASON |
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Demander à Gemini :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Enrichir le domaine (obsolète)
Utilisez l'action Enrichir le domaine pour enrichir les domaines à l'aide des informations provenant des IoC dans Google SecOps SIEM.
Cette action s'exécute sur les entités Google SecOps suivantes :
URLHostname
Entrées d'action
L'action Enrichir le domaine nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Create Insight |
Si cette option est sélectionnée, l'action créera un insight contenant des informations sur les entités. Cette option est activée par défaut. |
Only Suspicious Insight |
Si cette option est sélectionnée, l'action ne créera un insight que pour les entités marquées comme suspectes. Cette option n'est pas activée par défaut. Si vous sélectionnez ce paramètre, vous devez également sélectionner |
Lowest Suspicious Severity |
Obligatoire. Niveau de gravité le plus faible associé au domaine nécessaire pour le signaler comme suspect. La valeur par défaut est
|
Mark Suspicious N/A Severity |
Obligatoire. Si cette option est sélectionnée et que les informations sur la gravité ne sont pas disponibles, l'action marque l'entité comme suspecte. |
Sorties d'action
L'action Enrichir le domaine fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Disponible |
| Table d'enrichissement | Disponible |
| Insight sur les entités | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Tableau du mur des cas
L'action Enrichir le domaine fournit le tableau suivant :
Nom : ENTITY_IDENTIFIER
Colonnes :
- Source
- Gravité
- Catégorie
- Confiance
Enrichissement d'entités
L'action Enrichir le domaine est compatible avec la logique d'enrichissement d'entités suivante :
| Champ d'enrichissement | Logique (quand les appliquer) |
|---|---|
severity |
Lorsqu'il est disponible au format JSON |
average_confidence |
Lorsqu'il est disponible au format JSON |
related_domains |
Lorsqu'il est disponible au format JSON |
categories |
Lorsqu'il est disponible au format JSON |
sources |
Lorsqu'il est disponible au format JSON |
first_seen |
Lorsqu'il est disponible au format JSON |
last_seen |
Lorsqu'il est disponible au format JSON |
report_link |
Lorsqu'il est disponible au format JSON |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Enrichir le domaine avec l'API Backstory :
{
{
"sources": [
{
"source": "ET Intelligence Rep List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Enrichir le domaine avec l'API Chronicle :
[
{
"Entity": "example.com",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
},
{
"category": "Phishing",
"firstActiveTime": null,
"lastActiveTime": "2020-11-27T14:31:37Z",
"addresses": [
{
"domain": "example.com"
},
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "high",
"confidenceScore": {
"strRawConfidenceScore": "high"
}
},
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
},
{
"metadata": {
"title": "ESET Threat Intelligence",
"description": "ESET Threat Intelligence"
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Phishing",
"activeTimerange": {
"end": "2020-11-27T14:31:37Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "High",
"rawSeverity": "High"
}
]
},
{
"metadata": {
"title": "Mandiant Active Breach Intelligence",
"description": "Mandiant Active Breach IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
}
]
}
}
]
Messages de sortie
L'action Enrichir le domaine fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
Successfully enriched the following domain in Google Chronicle:
LIST_OF_IDS |
L'action a réussi. |
Error executing action "Enrich Domain". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs du résultat du script lorsque vous utilisez l'action Enrichir le domaine :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Enrichir les entités
Utilisez l'action Enrichir les entités pour interroger Google SecOps et obtenir des attributs et un contexte supplémentaires pour les types d'entités spécifiés. Cette action améliore les données d'analyse des menaces en intégrant des renseignements externes.
Cette action s'exécute sur les entités Google SecOps suivantes :
DomainFile HashHostnameIP AddressURL(extrait le domaine de l'URL)UserEmail(entité utilisateur avec expression régulière d'adresse e-mail)
Entrées d'action
L'action Enrichir les entités nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Namespace |
Facultatif. Regroupement logique ou portée des entités à enrichir. Si cette option n'est pas sélectionnée, l'enrichissement s'applique aux entités de l'espace de noms par défaut ou à tous les espaces de noms accessibles. Les entités doivent appartenir à cet espace de noms pour être traitées. |
Time Frame |
Facultatif. Période relative (par exemple, Ce paramètre est prioritaire sur |
Start Time |
Facultatif. Heure de début de la période d'enrichissement au format ISO 8601. Utilisez-le avec |
End Time |
Facultatif. Heure de fin absolue de la période d'enrichissement, au format ISO 8601. Utilisé avec |
Sorties d'action
L'action Enrichir les entités fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
| Champ d'enrichissement | Source (clé JSON) | Applicabilité |
|---|---|---|
GoogleSecOps_related_entities |
Nombre de related_entities | Lorsqu'il est disponible dans le résultat JSON. |
GoogleSecOps_alert_count_ruleName |
{alertCounts.count} pour chaque règle spécifique | Lorsqu'il est disponible dans le résultat JSON. |
GoogleSecOps_first_seen |
metric.firstSeen |
Lorsqu'il est disponible dans le résultat JSON. |
GoogleSecOps_last_seen |
metric.lastSeen |
Lorsqu'il est disponible dans le résultat JSON. |
GoogleSecOps_flattened_key_under_entity |
Valeur de la clé, aplatie à partir de la structure imbriquée sous l'objet "entity". |
Lorsqu'il est disponible dans le résultat JSON. |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Enrichir les entités :
[
{
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"domain": {
"name": "markossolomon.com",
"firstSeenTime": "1970-01-01T00:00:00Z",
"lastSeenTime": "1970-01-01T00:00:00Z",
"registrar": "NameCheap, Inc.",
"creationTime": "2013-12-06T02:41:09Z",
"updateTime": "2019-11-06T11:48:33Z",
"expirationTime": "2020-12-06T02:41:09Z",
"registrant": {
"userDisplayName": "WhoisGuard Protected",
"emailAddresses": [
"58d09cb5035042e9920408f8bafd0869.protect@whoisguard.com"
],
"personalAddress": { "countryOrRegion": "PANAMA" },
"companyName": "WhoisGuard, Inc."
}
}
}
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "npatni-sysops",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "npatni-sysops" }
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "329" },
{ "rule": "rule_testbucket", "count": "339" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "332" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 1000 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "exlab2019-ad",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "exlab2019-ad" }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.30.202.229",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "ip": ["172.30.202.229"] }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.17.0.1",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": { "namespace": "Yuriy", "asset": { "ip": ["172.17.0.1"] } },
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
}
},
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "911d039e71583a07320b32bde22f8e22",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"file": {
"sha256": "bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527",
"md5": "911d039e71583a07320b32bde22f8e22",
"sha1": "ded8fd7f36417f66eb6ada10e0c0d7c0022986e9",
"size": "278528",
"fileType": "FILE_TYPE_PE_EXE",
"names": [
"C:\\Windows\\System32\\cmd.exe",
"cmd",
"Cmd.Exe",
"C:\\Windows\\system32\\cmd.exe",
"C:\\Windows\\SYSTEM32\\cmd.exe",
"cmd.exe",
"C:\\\\Windows\\\\System32\\\\cmd.exe",
"C:\\windows\\SYSTEM32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\wjxpour4.d0f\\cmd.exe",
"c:\\Windows\\System32\\cmd.exe",
"Utilman.exe",
"c:\\windows\\system32\\cmd.exe",
"System32/cmd.exe",
"UtilityVM/Files/Windows/System32/cmd.exe",
"KerishDoctor/Data/KerishDoctor/Restore/cmd.rst",
"cmd.exe_",
"C:\\WINDOWS\\SYSTEM32\\cmd.exe",
"Cmd.exe",
"Windows/System32/cmd.exe",
"sethc.exe",
"C:\\WINDOWS\\System32\\cmd.exe",
"esRzqurX.exe",
"rofl.png",
"F:\\Windows\\SYSTEM32\\cmd.exe",
"utilman.exe",
"C:\\Windows\\system32\\CMD.exe",
"sys32exe/cmd.exe",
"cmd.txt",
"C:\\WINDOWS\\system32\\cmd.exe",
"cmd2.exe",
"Utilman.exe.sc",
"uhrHRIv8.exe",
"C:\\windows\\system32\\cmd.exe",
"submitted_file",
"C:\\Users\\user\\AppData\\Local\\Temp\\n1qo0bq3.2tn\\KerishDoctor\\Data\\KerishDoctor\\Restore\\cmd.rst",
"J6ff7z0hLYo.exe",
"N:\\Windows\\System32\\cmd.exe",
"Q:\\Windows\\System32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\cmd.exe",
"C:\\Users\\<USER>\\AppData\\Local\\Temp\\cmd.exe",
"test.exe",
"68E2F01F8DE9EFCAE9C0DD893DF0E8C34E2B5C98A6C4073C9C9E8093743D318600.blob",
"8FCVE0Kq.exe",
"cmd (7).exe",
"cmd (8).exe",
"21455_16499564_bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527_cmd.exe",
"LinX v0.9.11 (Intel)/cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\inbvmkaa.1xd\\LinX v0.9.11 (Intel)\\cmd.exe",
"cmd_b.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\sfd5bhoe.nqi\\cmd.exe",
"cMd.exe",
"Repl_Check.bat__",
"cmd.pdf",
"cmd.EXE",
"C:\\Users\\user\\AppData\\Local\\Temp\\uszjr42t.kda\\cmd.exe",
"LFepc1St.exe",
"firefox.exe",
"3BcnNlWV.exe",
"Utilman.exebak",
"utilman1.exe",
"1.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\ispvscgp.ep2\\sys32exe\\cmd.exe",
"cmd_1771019736291028992.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\xijgwqvd.54g\\cmd.exe",
"Sethc.exe",
"\\Device\\CdRom1\\DANFE352023067616112\\DANFE352023067616112.EXE",
"DANFE352023067616112.exe",
"file.exe",
"DANFE352023067616112/DANFE352023067616112.exe",
"C:\\Windows\\SYSTEM32\\Cmd.exe",
"pippo.exe",
"C:\\Windows\\System32\\sethc.exe",
"cmd.exe-bws024-windowsfolder",
"whatever.exe",
"sethc.exe.bak",
"S71dbOR1.exe",
"F:\\windows\\SYSTEM32\\cmd.exe",
"L6puhWL7.exe",
"DANFE357986551413927.exe",
"DANFE357666506667634.exe",
"\\Device\\CdRom1\\DANFE357666506667634\\DANFE357666506667634.EXE",
"\\Device\\CdRom1\\DANFE357986551413927\\DANFE357986551413927.EXE",
"\\Device\\CdRom1\\DANFE358567378531506\\DANFE358567378531506.EXE",
"\\Device\\CdRom1\\HtmlFactura3f48daa069f0e42253194ca7b51e7481DPCYKJ4Ojk\\HTMLFACTURA3F48DAA069F0E42253194CA7B51E7481DPCYKJ4OJK.EXE",
"\\Device\\CdRom1\\DANFE357410790837014\\DANFE357410790837014.EXE",
"\\Device\\CdRom1\\DANFE357702036539112\\DANFE357702036539112.EXE",
"winlogon.exe",
"AccessibilityEscalation.A' in file 'utilman.exe'",
"qpl9AqT0.exe",
"C:\\windows\\system32\\CMD.exe",
"C:\\po8az\\2po9hmc\\4v1b5.exe",
"batya.exe",
"nqAwJaba.exe",
"\\Device\\CdRom1\\DANFE356907191810758\\DANFE356907191810758.EXE",
"/Volumes/10_11_2023/DANFE356907191810758/DANFE356907191810758.exe",
"/Volumes/09_21_2023/DANFE357986551413927/DANFE357986551413927.exe",
"\\Device\\CdRom1\\DANFE355460800350113\\DANFE355460800350113.EXE",
"/Volumes/09_19_2023/DANFE355460800350113/DANFE355460800350113.exe",
"DANFE352429512050669.exe",
"/Volumes/04_15_2023/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3.exe"
],
"firstSeenTime": "2024-12-15T09:07:02Z",
"lastSeenTime": "2025-07-18T07:43:59.045Z",
"lastAnalysisTime": "2025-07-16T10:06:40Z",
"signatureInfo": {
"sigcheck": {
"verificationMessage": "Signed",
"verified": true,
"signers": [{ "name": "Microsoft Windows" }]
}
},
"firstSubmissionTime": "2025-07-15T16:30:27Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "329" },
{ "rule": "rule_testbucket", "count": "345" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "326" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{ "alertCount": 31 },
{ "alertCount": 111 },
{ "alertCount": 109 },
{ "alertCount": 82 },
{ "alertCount": 86 },
{ "alertCount": 98 },
{ "alertCount": 86 },
{ "alertCount": 85 },
{ "alertCount": 92 },
{ "alertCount": 89 },
{ "alertCount": 90 },
{ "alertCount": 41 }
],
"bucketSize": "172800s"
},
"prevalenceResult": [
{ "prevalenceTime": "2025-01-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-16T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-17T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-18T00:00:00Z", "count": 2 }
],
"relatedEntities": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiFQoGCPbso7wGEgsIv_bnwwYQwMq6FQ",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"hostname": "exlab2019-ad",
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIVCgYI9uyjvAYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"ip": ["172.30.202.229"],
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
}
]
}
},
{
"Entity": "tencent.com",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"domain": {
"name": "tencent.com",
"firstSeenTime": "2025-01-14T14:01:00Z",
"lastSeenTime": "2025-01-14T15:02:00Z",
"registrar": "MarkMonitor Information Technology (Shanghai) Co., Ltd.",
"creationTime": "1998-09-14T04:00:00Z",
"updateTime": "2024-08-20T08:04:01Z",
"expirationTime": "2032-09-13T04:00:00Z",
"registrant": {
"emailAddresses": [""],
"personalAddress": { "countryOrRegion": "CHINA" },
"companyName": "\u6df1\u5733\u5e02\u817e\u8baf\u8ba1\u7b97\u673a\u7cfb\u7edf\u6709\u9650\u516c\u53f8"
}
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "00:50:56:b6:34:86",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "mac": ["00:50:56:b6:34:86"] }
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
}
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
}
]
Messages de sortie
L'action Enrichir les entités peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enrichir les entités :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Enrich IP (obsolète)
Utilisez l'action Enrichir l'adresse IP pour enrichir les entités d'adresse IP à l'aide des informations provenant des IoC dans Google SecOps SIEM.
Cette action s'exécute sur l'entité "Adresse IP".
Entrées d'action
L'action Enrichir l'adresse IP nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Create Insight |
Facultatif. Si cette option est sélectionnée, l'action crée un insight contenant des informations sur les entités.Cette option est activée par défaut. |
Only Suspicious Insight |
Facultatif. Si cette option est sélectionnée, l'action ne crée des insights que pour les entités marquées comme suspectes.Cette option n'est pas activée par défaut. Si vous sélectionnez ce paramètre, vous devez également sélectionner |
Lowest Suspicious Severity |
Obligatoire. Niveau de gravité le plus faible associé à l'adresse IP pour la marquer comme suspecte. La valeur par défaut est
|
Mark Suspicious N/A Severity |
Obligatoire. Si cette option est sélectionnée et que les informations sur la gravité ne sont pas disponibles, l'action marque l'entité comme suspecte. |
Sorties d'action
L'action Enrichir l'adresse IP fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Disponible |
| Table d'enrichissement | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Tableau du mur des cas
Nom : ENTITY_IDENTIFIER
Colonnes :
- Source
- Gravité
- Catégorie
- Confiance
- Domaines associés
Enrichissement d'entités
L'action Enrichir l'adresse IP est compatible avec la logique d'enrichissement d'entités suivante :
| Champ d'enrichissement | Logique (quand les appliquer) |
|---|---|
severity |
Lorsqu'il est disponible au format JSON |
average_confidence |
Lorsqu'il est disponible au format JSON |
related_domains |
Lorsqu'il est disponible au format JSON |
categories |
Lorsqu'il est disponible au format JSON |
sources |
Lorsqu'il est disponible au format JSON |
first_seen |
Lorsqu'il est disponible au format JSON |
last_seen |
Lorsqu'il est disponible au format JSON |
report_link |
Lorsqu'il est disponible au format JSON |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Enrichir l'adresse IP avec l'API Backstory :
{
{
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Enrichir l'adresse IP avec l'API Chronicle :
[
{
"Entity": "192.0.2.121",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "low",
"confidenceScore": {
"strRawConfidenceScore": "67"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "67",
"rawSeverity": "Low"
}
]
}
]
}
}
]
Messages de sortie
L'action Enrichir l'adresse IP fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
Successfully enriched the following IPs from Google Chronicle:
LIST_OF_IPS |
L'action a réussi. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Enrichir l'adresse IP :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Exécuter la recherche RetroHunt
Utilisez l'action Exécuter une analyse rétroactive pour exécuter une analyse rétroactive des règles dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Exécuter Retrohunt nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Rule ID |
Obligatoire. ID de la règle pour laquelle exécuter une recherche RetroHunt. Utilisez le format |
Time Frame |
Facultatif. Période pour laquelle récupérer les résultats. Les valeurs possibles sont les suivantes :
Si La valeur par défaut est |
Start Time |
Heure de début des résultats au format ISO 8601. Ce paramètre est obligatoire si le paramètre |
End Time |
Heure de fin des résultats au format ISO 8601.
Si vous ne définissez pas de valeur et sélectionnez la valeur |
Sorties d'action
L'action Exécuter Retrohunt fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Insight sur les entités | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Execute Retrohunt avec l'API Backstory :
{
"retrohuntId": "oh_d738c8ea-8fd7-4cc1-b43d-25835b8e1785",
"ruleId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497",
"versionId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497@v_1612472807_179679000",
"eventStartTime": "2021-01-14T23:00:00Z",
"eventEndTime": "2021-01-30T23:00:00Z",
"retrohuntStartTime": "2021-02-08T02:40:59.192113Z",
"state": "RUNNING"
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Execute Retrohunt avec l'API Chronicle :
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/RetrohuntMetadata",
"retrohunt": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID/retrohunts/RETROHUNT_ID",
"executionInterval": {
"startTime": "2025-01-22T12:16:20.963182Z",
"endTime": "2025-01-23T12:16:20.963182Z"
}
},
"retrohuntId": "RETROHUNT_ID",
"ruleId": "RULE_ID",
"versionId": "VERSION_ID",
"eventStartTime": "2025-01-22T12:16:20.963182Z",
"eventEndTime": "2025-01-23T12:16:20.963182Z"
}
Messages de sortie
L'action Exécuter Retrohunt fournit les messages de résultat suivants :
| Message de sortie | Description du message |
|---|---|
Successfully executed a retrohunt for the provided rule in Google
Chronicle.
|
L'action a réussi. |
Error executing action "Execute Retrohunt". Reason:
ERROR_REASON |
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Exécuter une analyse rétroactive :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Exécuter une requête UDM
Utilisez l'action Exécuter une requête UDM pour exécuter une requête UDM personnalisée dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Exécuter une requête UDM nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Query |
Obligatoire. Requête à exécuter dans Google SecOps. |
Include Raw Log Data |
Facultatif. Si cette option est sélectionnée, l'action récupère le fichier journal brut d'origine associé aux résultats de recherche UDM. Cette option n'est disponible que lorsque vous utilisez l'authentification de l'API Chronicle. Désactivé par défaut |
Time Frame |
Facultatif. Période pour laquelle récupérer les résultats. Les valeurs possibles sont les suivantes :
Si La valeur par défaut est |
Start Time |
Facultatif. Heure de début des résultats au format ISO 8601 (par exemple, Ce paramètre est obligatoire si le paramètre La période maximale est de 90 jours. |
End Time |
Facultatif. Heure de fin des résultats au format ISO 8601 (par exemple, Si vous ne définissez pas de valeur et que le paramètre La période maximale est de 90 jours. |
Max Results To Return |
Facultatif. Nombre de résultats à renvoyer pour une seule requête. La valeur maximale est de La valeur par défaut est |
Sorties d'action
L'action Exécuter une requête UDM fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Exécuter une requête UDM :
{
"events":[
"event":{
"metadata":{
"eventTimestamp":"2022-01-20T09:15:15.687Z",
"eventType":"USER_LOGIN",
"vendorName":"Example Vendor",
"productName":"Example Product",
"ingestedTimestamp":"2022-01-20T09:45:07.433587Z"
},
"principal":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.0"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
],
"location":{
"city":"San Francisco",
"state":"California",
"countryOrRegion":"US"
},
"asset":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.1",
"203.0.113.1",
"203.0.113.1"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
]
}
},
"target":{
"user":{
"userid":"Example",
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-4712406912-7108061610-2717800068-993683",
"emailAddresses":[
"example@example.com",
"admin.example@example.com"
],
"employeeId":"2406187",
"productObjectId":"f93f1540-4935-4266-aa8e-a750a319aa1c",
"firstName":"Example",
"lastName":"User",
"phoneNumbers":[
"555-01-75"
],
"title":"Executive Assistant",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
],
"managers":[
{
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-6051382818-4135626959-8120238335-834071",
"emailAddresses":[
"user@example.com"
],
"employeeId":"5478500",
"productObjectId":"8b3924d5-6157-43b3-857b-78aa6bd94705",
"firstName":"User",
"lastName":"Example",
"phoneNumbers":[
"555-01-75"
],
"title":"Chief Technology Officer",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
]
}
]
},
"ip":[
"198.51.100.1"
],
"email":"email@example.com",
"application":"Example Sign In"
},
"securityResult":[
{
"summary":"Successful Login",
"action":[
"ALLOW"
]
}
],
"extensions":{
"auth":{
"type":"SSO"
}
}
},
"eventLogToken":"96f23eb9ffaa9f7e7b0e2ff5a0d2e34c,1,1642670115687000,USER,|USER_LOGIN"
]
}
Messages de sortie
L'action Exécuter une requête UDM fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Execute UDM Query". Reason:
ERROR_REASON
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Execute UDM Query". Reason: you've reached a
rate limit. Please wait for several minutes and try again. |
Échec de l'action. Patientez quelques minutes avant de relancer l'action. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Exécuter une requête UDM :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Générer une requête UDM
(Aperçu) Utilisez l'action Générer une requête UDM pour créer des requêtes UDM complexes à l'aide de requêtes en langage naturel dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Générer une requête UDM nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Prompt |
Obligatoire. Requête structurée UDM que le système utilise pour générer la requête. |
Sorties d'action
L'action Obtenir les tables de données fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Générer une requête UDM :
{
"query": "ip = \"10.0.0.1\""
}
Messages de sortie
L'action Générer une requête UDM fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
Successfully generated a UDM query in Google SecOps. |
L'action a réussi. |
Error executing action "Generate UDM Query". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Générer une requête UDM :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Obtenir des tables de données
Utilisez l'action Get Data Tables (Obtenir les tables de données) pour récupérer les tables de données disponibles dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Get Data Tables (Obtenir les tables de données) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Filter Key |
Facultatif. Clé de filtrage L'option Les valeurs possibles sont les suivantes : NameDescription |
Filter Logic |
Facultatif. Logique de filtre à appliquer. Les valeurs possibles sont les suivantes : Equal (pour les correspondances exactes)Contains(pour les correspondances de sous-chaînes) |
Filter Value |
Facultatif. Valeur à utiliser dans le filtre. Les valeurs possibles sont les suivantes : Equal (pour les correspondances exactes)Contains(pour les correspondances de sous-chaînes)
Si vous ne fournissez aucune valeur, le filtre ne sera pas appliqué. |
Expanded Rows |
Facultatif. Si cette option est sélectionnée, la réponse inclut des lignes de tableau de données détaillées. Cette option n'est pas activée par défaut. |
Max Data Tables To Return |
Obligatoire. Nombre de tableaux de données à renvoyer. La valeur maximale est de |
Max Data Table Rows To Return |
Obligatoire. Nombre de lignes du tableau de données à renvoyer. N'utilisez ce paramètre que si La valeur maximale est de |
Sorties d'action
L'action Obtenir les tables de données fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Obtenir les tables de données :
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table",
"displayName": "data_table",
"createTime": "2025-05-14T12:52:50.064133Z",
"updateTime": "2025-05-14T13:13:48.631442Z",
"columnInfo": [
{
"originalColumn": "columnName1",
"columnType": "STRING"
},
{
"columnIndex": 1,
"originalColumn": "columnName2",
"columnType": "STRING"
},
{
"columnIndex": 2,
"originalColumn": "columnName3",
"columnType": "STRING"
}
],
"dataTableUuid": "c3cce57bb8d940d5ac4523c37d540436",
"approximateRowCount": "2",
"rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
Messages de sortie
L'action Obtenir les tables de données fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
Successfully found data tables for the provided criteria in Google
SecOps |
L'action a réussi. |
Error executing action "Get Data Tables". Reason:
ERROR_REASON |
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Obtenir les tables de données :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Obtenir les détails de la détection
Utilisez l'action Obtenir les détails de la détection pour récupérer des informations sur une détection dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Obtenir les détails de la détection nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Rule ID |
Obligatoire. ID de la règle associée à la détection. Utilisez le format |
Detection ID |
Obligatoire. ID de la détection pour laquelle récupérer les détails. Si des caractères spéciaux sont fournis, l'action n'échoue pas, mais renvoie une liste de détections. |
Include Raw Log Data |
Facultatif. Si cette option est sélectionnée, l'action récupère le fichier journal brut d'origine associé aux résultats de recherche UDM. Cette option n'est disponible que lorsque vous utilisez l'authentification de l'API Chronicle. Désactivé par défaut |
Sorties d'action
L'action Obtenir les détails de la détection fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON obtenu lors de l'utilisation de l'action Obtenir les détails de la détection :
{
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "singleEventRule2",
"urlBackToProduct":
"https://INSTANCE/ruleDetections?
ruleId=ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d&selectedList=RuleDetectionsViewTimeline&
selectedParentDetectionId=de_ce594791-09ed-9681-27fa-3b7c8fa6054c&
selectedTimestamp=2020-12-03T16: 50: 47.647245Z","ruleId": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d",
"ruleVersion": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d@v_1605892822_687503000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT"
}
],
"createdTime": "2020-12-03T19:19:21.325134Z",
"id": "de_ce594791-09ed-9681-27fa-3b7c8fa6054c",
"timeWindow": {
"startTime": "2020-12-03T16:50:47.647245Z",
"endTime": "2020-12-03T16:50:47.647245Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2020-12-03T16:50:47.647245Z",
"collectedTimestamp": "2020-12-03T16:50:47.666064010Z",
"eventType": "NETWORK_DNS",
"productName": "ProductName",
"ingestedTimestamp": "2020-12-03T16:50:49.494542Z"
},
"principal": {
"ip": [
"192.0.2.1"
]
},
"target": {
"ip": [
"203.0.113.1"
]
},
"securityResult": [
{
"action": [
"UNKNOWN_ACTION"
]
}
],
"network": {
"applicationProtocol": "DNS",
"dns": {
"questions": [
{
"name": "example.com",
"type": 1,
"class": 1
}
],
"id": 12345,
"recursionDesired": true
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2020-12-03T16:50:47.647245Z"
}
Messages de sortie
L'action Obtenir les détails de la détection fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
Successfully fetched information about the detection with ID
DETECTION_ID in Google Chronicle. |
L'action a réussi. |
Error executing action "Get Detection Details". Reason:
ERROR_REASON |
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Get Detection Details (Obtenir les détails de la détection) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir des listes de référence
Utilisez l'action Get Reference Lists (Obtenir les listes de référence) pour récupérer les listes de référence disponibles dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Get Reference Lists (Obtenir des listes de référence) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Filter Key |
Clé de filtrage.
Les valeurs possibles sont les suivantes :
|
Filter Logic |
Logique de filtre à appliquer. Les valeurs possibles sont les suivantes : Equal (pour les correspondances exactes)Contains(pour les correspondances de sous-chaînes)La valeur par défaut est |
Filter Value |
Valeur à utiliser dans le filtre.
Les valeurs possibles sont les suivantes : Equal (pour les correspondances exactes)Contains(pour les correspondances de sous-chaînes)
Si aucune valeur n'est fournie, le filtre n'est pas appliqué. |
Expanded Details |
Si cette option est sélectionnée, l'action renvoie des informations détaillées sur les listes de références.
Cette option n'est pas activée par défaut. |
Max Reference Lists To Return |
Nombre de listes de références à renvoyer.
La valeur par défaut est |
Sorties d'action
L'action Obtenir la liste de référence fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Tableau du mur des cas
Sur un mur de demandes, l'option Obtenir des listes de référence fournit le tableau suivant :
Nom : Listes de référence disponibles
Colonnes :
- Nom
- Description
- Type
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Get Reference Lists avec l'API Backstory :
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Get Reference Lists avec l'API Chronicle :
[
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_ID",
"displayName": "REFERENCE_LIST_ID",
"revisionCreateTime": "2025-01-09T15:53:10.851775Z",
"description": "Test reference list",
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-09T15:53:10.851775Z"
}
]
Messages de sortie
L'action Obtenir les listes de référence fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action
ACTION_NAME. Reason:
ERROR_REASON
|
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action
ACTION_NAME. Reason: "Invalid
value was provided for "Max Reference Lists to Return":
PROVIIDED_VALUE. Positive number should be provided. |
Échec de l'action.
Vérifiez la valeur du paramètre |
Script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Obtenir les listes de référence :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les détails d'une règle
Utilisez l'action Obtenir les détails de la règle pour récupérer des informations sur une règle dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Obtenir les détails de la règle nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Rule ID |
Obligatoire. Identifiant unique de la règle pour laquelle récupérer les détails. La valeur par défaut est |
Sorties d'action
L'action Obtenir les détails de la règle fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Get Rule Details (Obtenir les détails de la règle) avec l'API Backstory :
{
"ruleId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f",
"versionId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f@v_1602631093_146879000",
"ruleName": "SampleRule",
"metadata": {
"description": "Sample Description of the Rule",
"author": "author@example.com"
},
"ruleText": "rule SampleRule {
meta:
description = \"Sample Description of the Rule\"
author = \"author@example.com\"
events:
// This will just generate lots of detections
$event.metadata.event_type = \"NETWORK_HTTP\"
condition:
$event
} ",
"liveRuleEnabled": true,
"versionCreateTime": "2020-10-13T23:18:13.146879Z",
"compilationState": "SUCCEEDED"
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Get Rule Details (Obtenir les détails de la règle) avec l'API Chronicle :
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID",
"revisionId": "v_1733917896_973567000",
"displayName": "Test_rule_SingleEvent",
"text": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"author": "example_user",
"metadata": {
"author": "example_user",
"description": "windowed single event example rule",
"severity": null
},
"createTime": "2024-12-11T11:36:18.192127Z",
"revisionCreateTime": "2024-12-11T11:51:36.973567Z",
"compilationState": "SUCCEEDED",
"type": "SINGLE_EVENT",
"allowedRunFrequencies": [
"LIVE",
"HOURLY",
"DAILY"
],
"etag": "CMj55boGEJjondAD",
"ruleId": "RULE_ID",
"versionId": "RULE_ID@v_1733917896_973567000",
"ruleName": "Test_rule_SingleEvent",
"ruleText": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"ruleType": "SINGLE_EVENT",
"versionCreateTime": "2024-12-11T11:51:36.973567Z"
}
Messages de sortie
L'action Obtenir les détails de la règle fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
Successfully fetched information about the rule with ID
RULE_ID in Google Chronicle.
|
L'action a réussi. |
Error executing action "Get Rule Details". Reason:
ERROR_REASON
|
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Get Rule Details (Obtenir les détails de la règle) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
La valeur se trouve-t-elle dans la table de données ?
Utilisez Is Value In Data Table pour vérifier si les valeurs fournies se trouvent dans une table de données dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action La valeur est-elle dans le tableau de données ? nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Data Table Name |
Obligatoire. Nom à afficher de la table de données à rechercher. |
Column |
Facultatif. Liste de colonnes dans lesquelles effectuer la recherche, séparées par une virgule. Si aucune valeur n'est fournie, l'action recherche dans toutes les colonnes. |
Values |
Obligatoire. Liste de valeurs à rechercher, séparées par une virgule. |
Case Insensitive Search |
Facultatif. Si cette option est sélectionnée, la recherche n'est pas sensible à la casse. Cette option est activée par défaut. |
Max Data Table Rows To Return |
Obligatoire. Nombre de lignes du tableau de données à renvoyer par valeur correspondante. La valeur maximale est de |
Sorties d'action
L'action La valeur est-elle dans le tableau de données ? fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action La valeur est-elle dans le tableau de données ? :
[{
"Entity": "asda",
"EntityResult": {
"is_found": true,
"matched_rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
}]
Messages de sortie
L'action La valeur est-elle dans le tableau de données ? fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
Successfully searched provided values in the data table {data table}
in Google SecOps.
|
L'action a réussi. |
| Erreur lors de l'exécution de l'action "La valeur se trouve-t-elle dans le tableau de données ?". Motif : ERROR_REASON | Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Is Value In Data Table". Reason: the
following data tables were not found in:
DATA_TABLE_NAME:
COLUMN_NAMES. Please check the
spelling.
|
Échec de l'action. |
Error executing action "Is Value In Data Table". Reason:
This action is not supported for Backstory API configuration. Please update
the integration configuration.
|
Échec de l'action. |
Résultat du script
Le tableau suivant décrit les valeurs du résultat du script lorsque vous utilisez l'action La valeur est-elle dans le tableau de données ? :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
La valeur figure dans la liste de référence
Utilisez l'action La valeur figure-t-elle dans la liste de référence pour vérifier si les valeurs fournies se trouvent dans les listes de référence de Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Is Value In Reference List (La valeur figure-t-elle dans la liste de référence ?) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Reference List Names |
Obligatoire. Liste de noms de listes de références à rechercher, séparés par une virgule. |
Values |
Obligatoire. Liste de valeurs à rechercher, séparées par une virgule. |
Case Insensitive Search |
Facultatif. Si cette option est sélectionnée, la recherche n'est pas sensible à la casse. |
Sorties d'action
L'action La valeur est-elle dans la liste de référence ? fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Is Value In Reference List (La valeur figure-t-elle dans la liste de référence ?) avec l'API Backstory :
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Is Value In Reference List avec l'API Chronicle :
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
Messages de sortie
L'action La valeur est-elle dans la liste de référence ? fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
Successfully searched provided values in the reference lists in
Google Chronicle.
|
L'action a réussi. |
| Erreur lors de l'exécution de l'action "Is Value In Reference List". Motif : ERROR_REASON | Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Is Value In Reference List". Reason: the
following reference lists were not found in Google Chronicle:
MISSING_REFERENCE_LIST_NAME(S).
Please use the action "Get Reference Lists" to see what reference lists are
available.
|
Échec de l'action. Exécutez l'action Get Reference Lists (Obtenir les listes de référence) pour vérifier les listes disponibles. |
Résultat du script
Le tableau suivant décrit les valeurs du résultat du script lorsque vous utilisez l'action Is Value In Reference List (La valeur figure-t-elle dans la liste de référence ?) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Répertorier les éléments
Utilisez l'action Lister les composants pour lister les composants dans Google SecOps SIEM en fonction des entités associées au cours d'une période spécifiée.
Cette action n'est compatible qu'avec les hachages MD5, SHA-1 et SHA-256.
Cette action s'exécute sur les entités Google SecOps suivantes :
URLIP AddressHash
Entrées d'action
L'action Lister les composants nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Max Hours Backwards |
Nombre d'heures avant l'heure actuelle pour récupérer les composants.
La valeur par défaut est |
Create Insight |
Si cette option est sélectionnée, l'action crée un insight contenant des informations sur les entités. Cette option est activée par défaut. |
Max Assets To Return |
Nombre d'éléments à renvoyer. La valeur par défaut est |
Time Frame |
Facultatif. Période pour laquelle récupérer les résultats. Les valeurs possibles sont les suivantes :
Si La valeur par défaut est |
Start Time |
Heure de début au format ISO 8601. Ce paramètre est obligatoire si le paramètre |
End Time |
Heure de fin au format ISO 8601.
Si vous ne définissez pas de valeur et que vous définissez le paramètre |
Sorties d'action
L'action Lister les composants fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Tableau du mur des cas
Nom : ENTITY_IDENTIFIER
Colonnes :
- Hostname (Nom d'hôte)
- Adresse IP
- Artefact vu pour la première fois
- Dernier artefact vu
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action List Assets avec l'API Backstory :
{
"assets": [
{
"asset": {
"hostname": "example"
},
"firstSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-02-28T09:18:15.675Z"
},
"lastSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-09-24T06:43:59Z"
}
}
],
"uri": [
"https://INSTANCE/domainResults?domain=www.example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2020-09-27T12%3A07%3A34.166830443Z"
]
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action List Assets (Lister les composants) avec l'API Chronicle :
[
{
"Entity": "192.0.2.229",
"EntityResult": {
"assets": [
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Open Source Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2024-09-20T14:14:07.843Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Open Source Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "OPEN_SOURCE_INTEL_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "ex ",
"valueType": "DOMAIN_NAME"
}
},
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Active Breach Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2023-07-05T02:42:52.935Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Active Breach Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "MANDIANT_ACTIVE_BREACH_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "example.com",
"valueType": "DOMAIN_NAME"
}
}
],
"uri": "https://INSTANCE.backstory.chronicle.security/destinationIpResults?ADDRESS=192.0.2.229&selectedList=IpViewDistinctAssets&referenceTime=2025-01-23T11%3A16%3A24.517449Z"
}
}
]
Messages de sortie
L'action Lister les composants fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
Successfully listed related assets for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
L'action a réussi. |
Error executing action "List Assets". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie du résultat du script lorsque vous utilisez l'action Lister les composants :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Lister les événements
Utilisez l'action Lister les événements pour lister les événements sur un élément particulier au cours d'une période spécifiée.
Cette action ne peut récupérer que 10 000 événements.
Cette action s'exécute sur les entités Google SecOps suivantes :
IP addressMAC addressHostname
Entrées d'action
L'action Lister les événements nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Event Types |
Liste de types d'événements séparés par une virgule.
Si aucune valeur n'est fournie, tous les types d'événements sont récupérés. Pour obtenir la liste de toutes les valeurs possibles, consultez Valeurs possibles du type d'événement. |
Time Frame |
Période spécifiée. Pour obtenir de meilleurs résultats, nous vous recommandons de la réduire au maximum.
Si Si Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Start Time |
Heure de début au format ISO 8601. Ce paramètre est obligatoire si le paramètre |
End Time |
Heure de fin au format ISO 8601. Si aucune valeur n'est fournie et que le paramètre Ce paramètre accepte la valeur |
Reference Time |
Heure de référence pour la recherche d'événements.
Si aucune valeur n'est fournie, l'action utilise l'heure de fin comme référence. |
Output |
Obligatoire. Format de sortie. Les valeurs possibles sont les suivantes :
|
Max Events To Return |
Nombre d'événements à traiter pour chaque type d'entité. La valeur par défaut est |
Valeurs possibles pour le type d'événement
Les valeurs possibles pour le paramètre Event Type sont les suivantes :
EVENTTYPE_UNSPECIFIEDPROCESS_UNCATEGORIZEDPROCESS_LAUNCHPROCESS_INJECTIONPROCESS_PRIVILEGE_ESCALATIONPROCESS_TERMINATIONPROCESS_OPENPROCESS_MODULE_LOADREGISTRY_UNCATEGORIZEDREGISTRY_CREATIONREGISTRY_MODIFICATIONREGISTRY_DELETIONSETTING_UNCATEGORIZEDSETTING_CREATIONSETTING_MODIFICATIONSETTING_DELETIONMUTEX_UNCATEGORIZEDMUTEX_CREATIONFILE_UNCATEGORIZEDFILE_CREATIONFILE_DELETIONFILE_MODIFICATIONFILE_READFILE_COPYFILE_OPENFILE_MOVEFILE_SYNCUSER_UNCATEGORIZEDUSER_LOGINUSER_LOGOUTUSER_CREATIONUSER_CHANGE_PASSWORDUSER_CHANGE_PERMISSIONSUSER_STATSUSER_BADGE_INUSER_DELETIONUSER_RESOURCE_CREATIONUSER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_UPDATE_PERMISSIONSUSER_COMMUNICATIONUSER_RESOURCE_ACCESSUSER_RESOURCE_DELETIONGROUP_UNCATEGORIZEDGROUP_CREATIONGROUP_DELETIONGROUP_MODIFICATIONEMAIL_UNCATEGORIZEDEMAIL_TRANSACTIONEMAIL_URL_CLICKNETWORK_UNCATEGORIZEDNETWORK_FLOWNETWORK_CONNECTIONNETWORK_FTPNETWORK_DHCPNETWORK_DNSNETWORK_HTTPNETWORK_SMTPSTATUS_UNCATEGORIZEDSTATUS_HEARTBEATSTATUS_STARTUPSTATUS_SHUTDOWNSTATUS_UPDATESCAN_UNCATEGORIZEDSCAN_FILESCAN_PROCESS_BEHAVIORSSCAN_PROCESSSCAN_HOSTSCAN_VULN_HOSTSCAN_VULN_NETWORKSCAN_NETWORKSCHEDULED_TASK_UNCATEGORIZEDSCHEDULED_TASK_CREATIONSCHEDULED_TASK_DELETIONSCHEDULED_TASK_ENABLESCHEDULED_TASK_DISABLESCHEDULED_TASK_MODIFICATIONSYSTEM_AUDIT_LOG_UNCATEGORIZEDSYSTEM_AUDIT_LOG_WIPESERVICE_UNSPECIFIEDSERVICE_CREATIONSERVICE_DELETIONSERVICE_STARTSERVICE_STOPSERVICE_MODIFICATIONGENERIC_EVENTRESOURCE_CREATIONRESOURCE_DELETIONRESOURCE_PERMISSIONS_CHANGERESOURCE_READRESOURCE_WRITTENANALYST_UPDATE_VERDICTANALYST_UPDATE_REPUTATIONANALYST_UPDATE_SEVERITY_SCOREANALYST_UPDATE_STATUSANALYST_ADD_COMMENT
Sorties d'action
L'action Lister les événements fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Lister les événements :
{
"statistics": {
"NETWORK_CONNECTION": 10
}
{
"events": [
{
"metadata": {
"eventTimestamp": "2020-09-28T14:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
},
{
"metadata": {
"eventTimestamp": "2020-09-28T17:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
}
],
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=user-example-pc&referenceTime=2020-09-28T17%3A00%3A00Z&selectedList=AssetViewTimeline&startTime=2020-09-28T14%3A20%3A00Z&endTime=2020-09-28T20%3A20%3A00Z"
]
}
}
Messages de sortie
L'action Lister les événements fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
Successfully listed related events for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
L'action a réussi. |
Error executing action "List Events". Reason:
ERROR_REASON
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "List Events". Reason: invalid event type
is provided. Please check the spelling. Supported event types:
SUPPORTED_EVENT_TYPES
|
Échec de l'action.
Vérifiez l'orthographe. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Lister les événements :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Lister les IOC
Utilisez l'action Lister les IoC pour lister tous les IoC découverts dans votre entreprise au cours d'une période spécifiée.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Lister les IOC nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Start Time |
Heure de début des résultats au format ISO 8601. |
Max IoCs to Fetch |
Nombre maximal d'IoC à renvoyer.
La plage est comprise entre La valeur par défaut est |
Sorties d'action
L'action Lister les IOC fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Tableau du mur des cas
Colonnes :
- Domaine
- Catégorie
- Source
- Confiance
- Gravité
- Heure de l'ingestion de l'IOC
- Heure de première observation de l'IoC
- Heure de la dernière observation de l'IoC
- URI
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Lister les IOC :
{
"matches":[
{
"artifact":{
"domainName":"www.example.com"
},
"firstSeenTime":"2018-05-25T20:47:11.048998Z",
"iocIngestTime":"2019-08-14T21:00:00Z",
"lastSeenTime":"2019-10-24T16:19:46.880830Z",
"sources":[
{
"category":"Spyware Reporting Server",
"confidenceScore":{
"intRawConfidenceScore":0,
"normalizedConfidenceScore":"Low"
},
"rawSeverity":"Medium",
"source":"Example List"
}
],
"uri":["URI"]
}
],
"moreDataAvailable":true
}
Messages de sortie
L'action Lister les IOC fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
Successfully listed IOCs from the provided timeframe in Google
Chronicle. |
L'action a réussi. |
Error executing action "List IOCs". Reason:
ERROR_REASON.
|
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Lister les IOC :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Rechercher des alertes similaires
Utilisez l'action Rechercher des alertes similaires pour rechercher des alertes similaires dans Google SecOps.
Entrées d'action
L'action Rechercher des alertes similaires nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Time Frame |
Période couverte par les résultats. Pour obtenir les meilleurs résultats, limitez autant que possible la période.
Les valeurs possibles sont les suivantes :
|
IOCs / Assets |
Obligatoire. Liste d'IoC ou d'assets à rechercher dans les alertes, séparés par une virgule. L'action effectue une recherche distincte pour chaque élément fourni. |
Similarity By |
Attributs à utiliser pour trouver des alertes similaires. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Fonctionnement du paramètre "Similitude par"
Le paramètre Similarity By s'applique différemment aux alertes de règle et aux alertes externes.
Si
Alert Name, Alert Type and ProductouAlert Name, Alert Typeest sélectionné :Pour les alertes externes, l'action recherche d'autres alertes externes portant le même nom.
Pour les alertes de règle, l'action traite les alertes provenant de la même règle.
Si
Productest sélectionné :- L'action traite les alertes provenant du même produit, qu'il s'agisse d'alertes de règle ou d'alertes externes.
Par exemple, une alerte provenant de Crowdstrike ne sera mise en correspondance qu'avec d'autres alertes de Crowdstrike.
Si
Only IOCs/Assetsest sélectionné :L'action correspond aux alertes en fonction des IOC fournis dans le paramètre
IOCs/Assets. Il recherche ces indicateurs dans les alertes basées sur des règles et les alertes externes.Une alerte d'IOC ne peut exécuter cette action que si cette option est sélectionnée. Si une autre option est fournie, l'action est définie par défaut sur
Only IOCs/Assets.
L'action Rechercher des alertes similaires est un outil polyvalent pour analyser les alertes. Il permet aux analystes de corréler les alertes de la même période et d'extraire les IOC pertinents pour déterminer si un incident est un vrai positif.
Sorties d'action
L'action Rechercher des alertes similaires fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Disponible |
| Tableau du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Lien vers le mur des cas
L'action Rechercher des alertes similaires peut renvoyer les liens suivants :
- CBN : GENERATED_LINK_BASED_ON_IU_ROOT_URL
- Règle : GENERATED_LINK_BASED_ON_IU_ROOT_URL
Tableau du mur des cas
Nom de la table : IOC/ASSET_IDENTIFIER
Colonnes du tableau :
- Produit
- Noms d'hôte
- Adresses IP
- Utilisateurs
- Adresses e-mail
- Sujets
- URL
- Hachages
- Processus
- Première diffusion
- Dernière connexion
- Nom de l'alerte
- Général
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Rechercher des alertes similaires :
{
"count": 123,
"distinct": [
{
"first_seen": "time of the first alert that matched our conditions",
"last_seen": "time of the last alert that matched our conditions",
"product_name": "product name",
"used_ioc_asset": "what user provided in the parameter IOCs and Assets",
"name": "Alert Name/Rule Name",
"hostnames": "csv list of unique hostnames that were found in alerts",
"urls": "csv list of unique urls that were found in alerts",
"ips": "csv list of unique ips that were found in alerts",
"subjects": "csv list of unique subjects that were found in alerts",
"users": "csv list of unique users that were found in alerts",
"email_addresses": "csv list of unique email_addresses that were found in alerts",
"hashes": "csv list of unique hashes that were found in alerts",
"processes": "csv list of unique processes that were found in alerts"
"rule_urls": ["Chronicle URL from API response for Rule"]
"count": 123
}
],
"processed_alerts": 10000,
"run_time": "how long it took to run the action or at least API request",
"EXTERNAL_url": "Chronicle URL from API response for EXTERNAL"
}
Messages de sortie
L'action Rechercher des alertes similaires fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Lookup Similar Alerts". Reason:
ERROR_REASON
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Error executing action "Lookup Similar Alerts". Reason: all of the
retries are exhausted. Please wait for a minute and try again.
|
Échec de l'action. Patientez quelques minutes avant de relancer l'action. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie du résultat du script lorsque vous utilisez l'action Rechercher des alertes similaires :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Ping
Utilisez l'action Ping pour tester la connectivité à Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Aucune.
Sorties d'action
L'action Ping fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Ping fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
Successfully connected to the Google Chronicle backstory with the
provided connection parameters! |
L'action a réussi. |
Failed to connect to the Google Chronicle backstory. Error is
ERROR_REASON
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Supprimer des lignes d'un tableau de données
Utilisez l'action Supprimer des lignes d'un tableau de données pour supprimer des lignes d'un tableau de données dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Supprimer des lignes du tableau de données nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Data Table Name |
Obligatoire. Nom à afficher du tableau de données à mettre à jour. |
Rows |
Obligatoire. Liste d'objets JSON utilisés pour rechercher et supprimer des lignes. N'incluez que des colonnes valides. La valeur par défaut est la suivante : |
Sorties d'action
L'action Supprimer des lignes du tableau de données fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Supprimer des lignes du tableau de données :
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
Messages de sortie
L'action Supprimer des lignes du tableau de données fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
Successfully removed rows from the data table
DATA_TABLE_NAME in
Google SecOps.
|
L'action a réussi. |
Error executing action "Remove Rows From Data Table". Reason:
ERROR_REASON
|
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs du résultat du script lorsque vous utilisez l'action Supprimer des lignes du tableau de données :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Supprimer des valeurs de la liste de référence
Utilisez l'action Supprimer des valeurs de la liste de référence pour supprimer des valeurs d'une liste de référence dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Supprimer des valeurs de la liste de référence nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Reference List Name |
Obligatoire. Nom de la liste de références à mettre à jour. |
Values |
Obligatoire. Liste de valeurs à supprimer de la liste de référence, séparées par une virgule. |
Sorties d'action
L'action Supprimer des valeurs de la liste de référence fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Remove Values From Reference List (Supprimer des valeurs de la liste de référence) avec l'API Backstory :
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
L'exemple suivant décrit le résultat JSON reçu lors de l'utilisation de l'action Remove Values From Reference List (Supprimer des valeurs de la liste de référence) avec l'API Chronicle :
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/<var class="readonly">REFERENCE_LIST_NAME</var>' }}",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Messages de sortie
L'action Supprimer des valeurs de la liste de référence fournit les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
Successfully removed values from the reference list.
|
L'action a réussi. |
Error executing action "Remove Values From Reference List". Reason:
ERROR_REASON
|
Échec de l'action.
Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Supprimer des valeurs de la liste de référence :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Connecteurs
Pour savoir comment configurer des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).
Google Chronicle – Connecteur d'alertes Chronicle
Utilisez le connecteur Google Chronicle – Chronicle Alerts pour extraire des informations sur les alertes basées sur des règles depuis Google SecOps SIEM.
Présentation
Le connecteur Google Chronicle – Chronicle Alerts ingère plusieurs types d'alertes provenant de Google SecOps SIEM.
Voici les principales caractéristiques et les détails opérationnels :
Interroge les données sur une période d'une semaine.
Pour éviter de manquer des alertes en raison de retards d'indexation, vous pouvez configurer une période de marge et un délai avant expiration du connecteur plus long. Toutefois, une marge importante peut avoir un impact négatif sur les performances.
Utilise des listes dynamiques pour une configuration flexible.
Fournit un
Fallback Severitypour les alertes qui ne comportent pas de valeur de gravité.Pour ingérer des IoC, une règle de détection correspondante doit être créée dans Google SecOps SIEM. Elle génère des alertes en fonction des IoC.
Filtre de liste dynamique
La liste dynamique permet de filtrer les alertes directement depuis la page de configuration du connecteur.
Logique de l'opérateur
La liste dynamique utilise une combinaison de logique AND et OR pour traiter les règles de filtrage :
Logique
OR: les valeurs sur la même ligne, séparées par une virgule, sont traitées avec la logiqueOR(par exemple,Rule.severity = low,mediumsignifie que la gravité estlowOUmedium).Logique
AND: chaque ligne distincte de la liste dynamique est traitée avec la logiqueAND(par exemple, une ligne pourRule.severityet une ligne pourRule.ruleNamesignifieseverityETruleName).Les opérateurs acceptés (
=,!=,>,<,>=,<=) varient en fonction de la clé de filtre.
Voici des exemples d'utilisation des règles d'opérateur :
- Rule.severity = medium : le connecteur n'ingère que les alertes de règles de gravité moyenne.
- Rule.severity = low,medium : le connecteur n'ingère que les alertes de règles de gravité moyenne ou faible.
- Rule.ruleName = default_rule : le connecteur n'ingère que les alertes de règles portant le nom
default_rule.
Filtres acceptés
Le connecteur Chronicle Alerts permet de filtrer les données à l'aide des clés suivantes :
| Clé de filtre | Clé de réponse | Opérateurs | Valeurs possibles |
|---|---|---|---|
Rule.severity |
detection, ruleLabels ou severity |
=, !=, >, <,
>=, <= |
Les valeurs ne sont pas sensibles à la casse. |
Rule.ruleName |
detection ou ruleName |
=, != |
Défini par l'utilisateur. |
Rule.ruleID |
detection ou ruleId |
=, != |
Défini par l'utilisateur. |
Rule.ruleLabels.{key} |
detection ou ruleLabels |
=, != |
Défini par l'utilisateur. |
Gérer ruleLabels
Pour filtrer sur un libellé spécifique dans une règle, utilisez le format Rule.ruleLabels.{key}.
Par exemple, pour filtrer les résultats à l'aide d'un libellé dont la clé est type et la valeur suspicious_behaviour, l'entrée de la liste dynamique doit être la suivante :
Rule.ruleLabels.type=suspicious_behaviour
Entrées du connecteur
Le connecteur Chronicle Alerts nécessite les paramètres suivants :
La valeur par défaut est Medium.
| Paramètre | Description |
|---|---|
Product Field Name |
Obligatoire. Nom du champ dans lequel le nom du produit est stocké. Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée à partir du code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut. La valeur par défaut est |
Event Field Name |
Obligatoire. Nom du champ qui détermine le nom (sous-type) de l'événement. |
Environment Field Name |
Facultatif. Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut. La valeur par défaut est |
Environment Regex Pattern |
Facultatif. Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur de l'environnement est nulle, l'environnement par défaut est sélectionné. |
Script Timeout (Seconds) |
Obligatoire. Délai avant expiration, en secondes, du processus Python qui exécute le script actuel. La valeur par défaut est |
API Root |
Obligatoire. Racine de l'API de l'instance Google SecOps SIEM. Google SecOps fournit des points de terminaison régionaux pour chaque API, par exemple Contactez Cloud Customer Care pour savoir quel point de terminaison utiliser. La valeur par défaut est |
User's Service Account |
Obligatoire. Contenu JSON complet du compte de service utilisé pour l'authentification. |
Fallback Severity |
Obligatoire. Gravité par défaut à utiliser si l'alerte de Google SecOps SIEM n'inclut pas de valeur de gravité. Les valeurs possibles sont les suivantes :
|
Max Hours Backwards |
Facultatif. Nombre d'heures avant la première exécution du connecteur à partir desquelles récupérer les incidents. Ce paramètre ne s'applique qu'une seule fois. La valeur maximale est de La valeur par défaut est |
Max Alerts To Fetch |
Facultatif. Nombre d'alertes à traiter à chaque itération du connecteur. La valeur par défaut est |
Disable Event Splitting |
Facultatif. Si cette option est sélectionnée, le connecteur ne divise pas les événements d'origine en plusieurs parties, ce qui garantit que le nombre d'événements correspond entre la source et Google SecOps SOAR. Cette option n'est pas activée par défaut. |
Verify SSL |
Obligatoire. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Google SecOps SIEM. Cette option est activée par défaut. |
Proxy Server Address |
Facultatif. Adresse du serveur proxy à utiliser. |
Proxy Username |
Facultatif. Nom d'utilisateur du proxy pour l'authentification. |
Proxy Password |
Facultatif. Mot de passe du proxy pour l'authentification. |
Disable Overflow |
Facultatif. Si cette option est sélectionnée, le connecteur ignore le mécanisme de dépassement de capacité Google SecOps. Cette option n'est pas activée par défaut. |
Règles du connecteur
Le connecteur Google Chronicle – Chronicle Alerts est compatible avec les proxys.
Événements de connecteur
Le connecteur d'alertes Google Chronicle traite trois types d'événements provenant de Google SecOps SIEM.
Alertes basées sur des règles
Ce type d'événement est généré par une règle de détection dans Google SecOps SIEM.
{
"alert_type": "RULE",
"event_type": "NETWORK_DHCP",
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "d3_test",
"urlBackToProduct": "https://INSTANCE/ruleDetections?ruleId=ru_74dd17e2-5aad-4053-acd7-958bead014f2&selectedList=RuleDetectionsViewTimeline&selectedParentDetectionId=de_b5dadaf4-b398-325f-9f09-833b71b3ffbb&selectedTimestamp=2022-02-08T05:02:36Z&versionTimestamp=2020-11-19T18:19:11.951951Z",
"ruleId": "ru_74dd17e2-5aad-4053-acd7-958bead014f2",
"ruleVersion": "ru_74dd17e2-5aad-4053-acd7-958bead014f2@v_1605809951_951951000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT",
"ruleLabels": [
{
"key": "author",
"value": "analyst123"
},
{
"key": "description",
"value": "8:00 AM local time"
},
{
"key": "severity",
"value": "Medium"
}
]
}
],
"createdTime": "2022-02-08T06:07:33.944951Z",
"id": "de_b5dadaf4-b398-325f-9f09-833b71b3ffbb",
"timeWindow": {
"startTime": "2022-02-08T05:02:36Z",
"endTime": "2022-02-08T05:02:36Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2022-02-08T05:02:36Z",
"eventType": "NETWORK_DHCP",
"productName": "Infoblox DHCP",
"ingestedTimestamp": "2022-02-08T05:03:03.892234Z"
},
"principal": {
"ip": [
"198.51.100.255",
"198.51.100.1"
],
"mac": [
"01:23:45:ab:cd:ef"
],
"email_address": [
"example@example.com"
]
},
"target": {
"hostname": "dhcp_server",
"ip": [
"198.51.100.0",
"198.51.100.1"
]
},
"network": {
"applicationProtocol": "DHCP",
"dhcp": {
"opcode": "BOOTREQUEST",
"ciaddr": "198.51.100.255",
"giaddr": "198.51.100.0",
"chaddr": "01:23:45:ab:cd:ef",
"type": "REQUEST",
"clientHostname": "example-user-pc",
"clientIdentifier": "AFm/LDfjAw=="
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2022-02-08T05:02:36Z"
}
Alertes externes
Ce type d'événement est basé sur une alerte externe ingérée dans Google SecOps SIEM.
{
"alert_type": "External",
"event_type": "GENERIC_EVENT",
"name": "Authentication failure [32038]",
"sourceProduct": "Internal Alert",
"severity": "Medium",
"timestamp": "2020-09-30T18:03:34.898194Z",
"rawLog": "U2VwIDMwIDE4OjAzOjM0Ljg5ODE5NCAxMC4wLjI5LjEwOSBBdXRoZW50aWNhdGlvbiBmYWlsdXJlIFszMjAzOF0=",
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=198.51.100.109&namespace=[untagged]&referenceTime=2020-09-30T18%3A03%3A34.898194Z&selectedList=AssetViewTimeline&startTime=2020-09-30T17%3A58%3A34.898194Z&endTime=2020-09-30T18%3A08%3A34.898194Z&selectedAlert=-610875602&selectedEventTimestamp=2020-09-30T18%3A03%3A34.898194Z"
],
"event": {
"metadata": {
"eventTimestamp": "2020-09-30T18:03:34.898194Z",
"eventType": "GENERIC_EVENT",
"productName": "Chronicle Internal",
"ingestedTimestamp": "2020-09-30T18:03:34.991592Z"
},
"target": [
{
"ip": [
"198.51.100.255",
"198.51.100.1"
]
}
],
"securityResult": [
{
"summary": "Authentication failure [32038]",
"severityDetails": "Medium"
}
]
}
}
Alertes d'IoC
Ce type d'événement correspond à une liste prédéfinie d'IoC.
{
"alert_type": "IOC",
"event_type": "IOC Alert",
"artifact": {
"domainName": "example.com"
},
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2020-09-07T11:00:00Z",
"firstSeenTime": "2018-10-03T00:01:59Z",
"lastSeenTime": "2022-02-04T20:02:29.191Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-08T15%3A08%3A52.434022777Z"
]
}
Structure des alertes
Le tableau suivant décrit comment le connecteur Google Chronicle – Chronicle Alerts remplit les attributs d'une alerte dans Google SecOps. Pour plus de clarté, les attributs d'alerte sont regroupés par origine et par type d'alerte.
Attributs générés en interne
Ces attributs sont générés par le framework et sont cohérents pour tous les types d'alertes.
| Nom de l'attribut d'alerte | Source |
|---|---|
SourceSystemName |
Généré en interne par le framework. |
TicketId |
La valeur est extraite du fichier ids.json. |
DisplayId |
Générée automatiquement. |
Attributs pour tous les types d'alertes
Ces attributs sont dérivés de l'alerte source, mais leur clé source varie en fonction du type d'alerte.
| Nom de l'attribut d'alerte | Source |
|---|---|
Priority |
Extrait de la réponse de l'API ou du paramètre Fallback Severity. |
DeviceVendor |
La valeur codée en dur est Google Chronicle. |
DeviceProduct |
Valeur codée en dur qui dépend du type d'alerte : RULE pour les alertes de détection de règles, IOC pour les correspondances d'IOC ou EXTERNAL pour les alertes externes. |
Description |
Pour les alertes basées sur des règles, cette information provient de detection/ruleLabels/description (si elle existe). Non disponible pour les autres types d'alertes. |
Reason |
Non disponible. |
SourceGroupingIdentifier |
Non disponible. |
Chronicle Alert - Attachments |
Non disponible. |
Types d'alertes spécifiques
Ces attributs sont spécifiques à l'origine de l'alerte, ce qui permet de comprendre plus facilement comment chacun est renseigné.
| Nom de l'attribut d'alerte | Alertes basées sur des règles | Alertes basées sur les IOC | Alertes externes |
|---|---|---|---|
Name |
detection/ruleName |
IOC Alert (codé en dur) |
alertInfos/name |
RuleGenerator |
detection/ruleName |
IOC Alert (codé en dur) |
alertInfos/name |
StartTime et EndTime |
timeWindow ou startTime |
lastSeenTime |
timestamp |
Chronicle Alert - Extensions |
rule_id (ruleId), product_name (CSV d'un événement ou de métadonnées, ou valeur productName) |
Non applicable | alert_name (name), product_name (CSV d'un événement ou de métadonnées UDM, ou valeur productName) |
Obsolète : connecteur d'alertes Google Chronicle
Ce connecteur extrait les alertes d'assets de Google SecOps SIEM et les convertit en alertes Google SecOps SIEM.
Vous pouvez vous authentifier à l'aide de la bibliothèque Google avec google.oauth2.service_account et AuthorizedSession.
Ce connecteur nécessite l'API Google SecOps SIEM Search.
Entrées du connecteur
Le connecteur d'alertes nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Product Field Name |
Obligatoire.
Nom du champ dans lequel le nom du produit est stocké. Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée à partir du code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut. La valeur par défaut est |
Environment Field Name |
Facultatif. Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut. La valeur par défaut est |
Environment Regex Pattern |
Facultatif. Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur de l'environnement est nulle, l'environnement par défaut est sélectionné. |
Script Timeout (Seconds) |
Obligatoire. Délai avant expiration, en secondes, du processus Python qui exécute le script actuel. La valeur par défaut est |
Service Account Credentials |
Obligatoire. Contenu du fichier JSON du compte de service. |
Fetch Max Hours Backwards |
Facultatif. Nombre d'heures avant la première exécution du connecteur à partir desquelles récupérer les incidents. Ce paramètre ne s'applique qu'une seule fois. La valeur maximale est de La valeur par défaut est |
Obsolète : connecteur Google Chronicle – IoCs
Utilisez plutôt le connecteur Chronicle Alerts.
Ce connecteur extrait les correspondances de domaine d'IOC de Google SecOps SIEM et les convertit en alertes Google SecOps SIEM.
Vous pouvez vous authentifier à l'aide de la bibliothèque Google avec google.oauth2.service_account et AuthorizedSession.
Ce connecteur utilise l'API Google SecOps SIEM Search.
Entrées du connecteur
Le connecteur Google Chronicle – IoCs nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Product Field Name |
Obligatoire.
Nom du champ dans lequel le nom du produit est stocké. Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée à partir du code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut. La valeur par défaut est |
Environment Field Name |
Facultatif. Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut. La valeur par défaut est |
Environment Regex Pattern |
Facultatif. Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur de l'environnement est nulle, l'environnement par défaut est sélectionné. |
Script Timeout (Seconds) |
Obligatoire. Délai avant expiration, en secondes, du processus Python qui exécute le script actuel. La valeur par défaut est |
Service Account Credentials |
Obligatoire. Contenu du fichier JSON du compte de service. |
Fetch Max Hours Backwards |
Facultatif. Nombre d'heures avant la première exécution du connecteur à partir desquelles récupérer les alertes. Ce paramètre ne s'applique qu'une seule fois. La valeur maximale est de La valeur par défaut est |
Max Alerts To Fetch |
Facultatif. Nombre maximal d'alertes à traiter à chaque itération du connecteur. La valeur par défaut est |
Jobs
Pour en savoir plus sur les jobs, consultez Configurer un job et Planification avancée.
Conditions préalables pour la configuration des tâches
Avant de configurer le job, configurez le connecteur Chronicle Alerts.
Pour configurer les jobs Google Chronicle, procédez comme suit :
Dans Google SecOps SOAR, accédez à Réponse > Planificateur de tâches.
Cliquez sur Ajouter > Créer un job.
Dans la boîte de dialogue Add Job (Ajouter un job) qui s'affiche, sélectionnez le job Google Chronicle correspondant, puis cliquez sur Save (Enregistrer).
Facultatif : Modifiez le nom et la description du job, si nécessaire.
Dans la section Détails du job :
- Assurez-vous que GoogleChronicle est sélectionné dans le champ Integration (Intégration).
Pour exécuter automatiquement le job à des intervalles spécifiés, configurez un intervalle de programmateur. La configuration du planificateur est obligatoire pour terminer la configuration du job.
Étant donné que les jobs Google Chronicle peuvent synchroniser de grandes quantités de données en une seule exécution, Google vous recommande de définir un intervalle de programmateur d'au moins deux minutes.
Google Chronicle – Tâche de synchronisation des données
Ce job fonctionne avec les alertes créées par le connecteur Chronicle Alerts et le job Chronicle Alerts Creator, mais pas avec les alertes des connecteurs obsolètes (connecteur Alerts et connecteur IOCs).
Le job Synchroniser les données Google Chronicle synchronise les alertes et les demandes Google SecOps mises à jour gérées dans Google SecOps SOAR avec Google SecOps SIEM. Par conséquent, vous pouvez suivre les mêmes informations dans les deux systèmes immédiatement après avoir apporté des modifications dans Google SecOps SOAR.
Synchronisation des données des demandes et des alertes
Le job Synchroniser les données Google Chronicle suit et synchronise les champs suivants pour les demandes :
| Champ suivi | Champ synchronisé |
|---|---|
Priority |
Priority |
Status |
Status |
Title |
Title |
| Non applicable | Stage |
| Non applicable | Google SecOps Case ID |
| Non applicable | Google SecOps Case ID |
L'ID de demande Google SecOps est un identifiant unique dans Google SecOps SOAR et Google SecOps SIEM.
Le job Synchroniser les données Google Chronicle suit et synchronise les champs suivants pour les alertes :
| Champ suivi | Champ synchronisé |
|---|---|
Priority |
Priority |
Status |
Status |
Case ID |
Non applicable |
| Non applicable | Google SecOps Alert ID |
| Non applicable | Google SecOps Case ID |
| Non applicable | Verdict |
| Non applicable | Closure Comment |
| Non applicable | Closure Reason |
| Non applicable | Closure Root Cause |
| Non applicable | Usefulness |
L'ID d'alerte Google SecOps est un identifiant unique d'alerte dans Google SecOps SOAR.
Lors d'une itération, le job synchronise jusqu'à 1 000 demandes et 1 000 alertes. La synchronisation a lieu dans l'environnement Google SecOps SOAR spécifié dans la configuration du job. Le mécanisme de synchronisation garantit qu'une demande provenant de l'environnement spécifié ne peut pas être synchronisée avec un autre environnement.
Configurer le job de données Google Chronicle Sync
Ce job ne synchronise que les cas Google SecOps SOAR ingérés à partir de Google SecOps SIEM.
Assurez-vous d'avoir effectué les étapes préalables avant de configurer ce job.
Pour configurer le job Synchroniser les données Google Chronicle, procédez comme suit :
Dans la section Paramètres, configurez les paramètres suivants :
Paramètre Description EnvironmentObligatoire.
Nom de l'environnement créé dans Google SecOps SOAR pour synchroniser les demandes et les alertes.
API RootObligatoire.
Racine de l'API de l'instance Google SecOps SIEM.
Google SecOps fournit des points de terminaison régionaux pour chaque API.
Par exemple,
https://europe-backstory.googleapis.comouhttps://asia-southeast1-backstory.googleapis.com.Si vous ne savez pas quel point de terminaison utiliser, [contactez l'Cloud Customer Care](/chronicle/docs/getting-support).
La valeur par défaut est
https://backstory.googleapis.com.User's Service AccountObligatoire.
Le contenu du fichier JSON du compte de service de votre instance Google SecOps SIEM.
Max Hours BackwardsFacultatif.
Nombre d'heures à partir desquelles récupérer les alertes. N'utilisez que des nombres positifs.
La valeur par défaut est
24.Verify SSLObligatoire.
Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Google SecOps SIEM.
Cette option est activée par défaut.
Le job Synchroniser les données Google Chronicle est activé par défaut. Lorsque vous enregistrez le job correctement configuré, il commence immédiatement à synchroniser les données avec Google SecOps SIEM. Pour désactiver le job, basculez le bouton à côté de son nom.
Pour terminer la configuration, cliquez sur Enregistrer.
Si le bouton Enregistrer est inactif, assurez-vous d'avoir défini tous les paramètres obligatoires.
Facultatif : Pour exécuter le job immédiatement après l'avoir enregistré, cliquez sur Exécuter maintenant.
L'option Exécuter maintenant vous permet de déclencher une seule exécution de job qui synchronise les données actuelles des alertes et des demandes Google SecOps SOAR avec Google SecOps SIEM.
Messages de journal
Le tableau suivant répertorie les messages de journaux possibles pour le job Synchronisation des données Google Chronicle :
| Entrée de journal | Type | Description |
|---|---|---|
Unable to parse credentials as JSON. Please validate creds.
|
Erreur | Le compte de service fourni dans le paramètre User's Service Account est corrompu. |
"Max Hours Backwards" parameter must be a positive number. |
Erreur | Le paramètre Max Hours backwards est défini sur 0 ou sur un nombre négatif. |
Current platform version does not support SDK methods designed for
Google SecOps. Please use version 6.1.33 or higher. |
Erreur | La version actuelle de l'instance de la plate-forme Google SecOps n'est pas compatible avec l'exécution du script de tâche de synchronisation des données Chronicle. Cela signifie que la version de compilation de l'instance est antérieure à la version 6.1.33. |
Unable to connect to Google SecOps, please validate
your credentials: CREDENTIALS |
Erreur | Les valeurs du compte de service ou de la racine de l'API n'ont pas pu être validées par rapport à l'instance Google SecOps SIEM. Cette erreur est signalée en cas d'échec du test de connectivité. |
--- Start Processing Updated Cases --- |
Infos | La boucle de traitement des demandes a commencé à s'exécuter. |
Last success time. Date time:DATE_AND_TIME.
Unix:UNIX_EPOCH_TIME
|
Infos | Code temporel de la dernière exécution de script réussie pour les demandes ou les alertes :
|
Key: "DATABASE_KEY" does not exist in the
database. Returning default
value instead: DEFAULT_VALUE |
Infos | La clé de base de données de l'alerte ou de la demande en attente n'existe pas dans la base de données. Cette entrée de journal apparaît toujours lors de la première exécution du script. |
Failed to parse data as JSON. Returning default value instead:
"DEFAULT_VALUE. ERROR:
ERROR |
Erreur | La valeur récupérée de la base de données n'est pas un format JSON valide. |
Exception was raised from the database. ERROR:
ERROR. |
Erreur | Un problème de connexion à la base de données est survenu. |
|
Infos | Les ID des alertes ou des demandes en attente ont bien été récupérés dans le backlog. CASE_IDS correspond au nombre d'ID de cas apportés. |
|
Erreur | Le nombre d'ID d'alertes ou de demandes en attente récupérés dans la base de données est supérieur à la limite (1 000). Les ID qui dépassent la limite sont ignorés. Cette erreur peut indiquer une éventuelle corruption de la base de données. |
|
Infos | Les ID de cas ou d'alerte récemment mis à jour ont bien été récupérés depuis la plate-forme. |
|
Infos | La mise à jour des cas et des alertes dans l'instance Google SecOps SIEM a commencé. |
|
Erreur | Le cas ou l'alerte spécifiés ne peuvent pas être synchronisés avec Google SecOps SIEM. |
|
Infos | La demande ou l'alerte en attente spécifiée a atteint la limite de tentatives de synchronisation (5) et n'est pas réinsérée dans le backlog. |
|
Infos | Liste des ID de cas ou d'alertes qui ne peuvent pas être synchronisés avec Google SecOps SIEM. |
Updated External Case IDs for the following cases:
CASE_IDS |
Infos | Liste des demandes pour lesquelles le job a mis à jour l'ID de demande externe Google SecOps SIEM correspondant dans la plate-forme Google SecOps SOAR. |
Failed to update external ids. |
Erreur | Entrée de journal indiquant qu'un problème lié à la méthode ou à la connexion du SDK a empêché la mise à jour des ID de demandes externes sur la plate-forme. |
|
Erreur | Entrée de journal indiquant qu'une certaine erreur de fin a empêché la boucle de traitement des demandes ou des alertes de se terminer naturellement. La trace de pile est imprimée après ce journal avec l'erreur spécifique. |
|
Infos | La boucle de traitement des demandes et des alertes est terminée, soit naturellement, soit avec une erreur. |
|
Erreur | Liste des ID d'alertes ou d'affaires ayant échoué et dont le nombre de tentatives est inférieur ou égal à 5, à réécrire dans le backlog. |
|
Infos | L'étape de traitement de la demande et de l'alerte est terminée. |
Saving timestamps. |
Infos | Enregistrement des codes temporels de la dernière mise à jour réussie des cas et des alertes dans la base de données. |
Saving pending ids. |
Infos | Enregistrement des ID de demandes et d'alertes en attente dans la base de données. |
Got exception on main handler. Error:
ERROR_REASON |
Erreur | Une erreur de résiliation générale s'est produite. La trace de pile est imprimée après ce journal avec l'erreur spécifique. |
Poste de créateur d'alertes Google Chronicle
Le job Google Chronicle Alerts Creator nécessite la version 6.2.30 ou ultérieure de la plate-forme Google SecOps.
Ce job crée toutes les alertes de Google SecOps SOAR vers Google SecOps SIEM, y compris les alertes de dépassement. Le job Google Chronicle Alerts Creator ne réplique pas les alertes provenant de Google SecOps.
Le job Google Chronicle Alerts Creator interroge la plate-forme SOAR à l'aide du SDK Python pour les alertes non synchronisées. Le job envoie des alertes non synchronisées au SIEM individuellement. Le SIEM met à jour et renvoie les identifiants des alertes SIEM correspondantes, et SOAR enregistre les identifiants à l'aide de l'API de la plate-forme SOAR via le SDK Python.
Relation entre les jobs Google Chronicle
Un système Google SecOps complet exécute simultanément les trois composants suivants :
- Connecteur Chronicle Alerts
- Job Synchroniser les données Google Chronicle
- Tâche Google Chronicle Alerts Creator
Le job Synchroniser les données Google Chronicle crée et synchronise les demandes. Il synchronise également les modifications apportées aux demandes et aux alertes, comme les changements de priorité.
Le job Google Chronicle Alerts Creator génère toutes les alertes, à l'exception des alertes SIEM. Le job Synchroniser les données Google Chronicle envoie des informations sur les alertes non synchronisées après que le job Créateur d'alertes Google Chronicle a créé les alertes.
Synchronisation des données des demandes et des alertes
Les cas sont synchronisés de la même manière qu'avec le job de données Google Chronicle Sync.
Dans Google SecOps SIEM, chaque alerte est identifiée par un identifiant d'alerte SIEM. Les alertes SOAR peuvent adopter un identifiant SIEM dans deux cas :
Une alerte est générée dans le SIEM.
Cette alerte existe déjà dans Google SecOps SIEM. Il n'est pas nécessaire de la dupliquer. Le connecteur renseigne le champ
siem_alert_id.Une alerte est générée dans les connecteurs tiers.
Cette alerte n'existe pas dans Google SecOps SIEM et nécessite l'exécution d'une opération de synchronisation explicite dont le job Google Chronicle Alerts Creator est responsable. Une fois l'opération de synchronisation terminée, l'alerte acquiert un nouvel identifiant SIEM.
Configurer le job Google Chronicle Alerts Creator
Assurez-vous d'avoir effectué les étapes préalables avant de configurer le job.
Pour configurer le job Google Chronicle Alerts Creator, procédez comme suit :
Configurez les paramètres du job à partir du tableau suivant :
Paramètre Description EnvironmentObligatoire.
Nom de l'environnement créé dans Google SecOps SOAR où vous souhaitez synchroniser les demandes et les alertes.
API RootObligatoire.
Racine de l'API de l'instance Google SecOps SIEM.
Google SecOps fournit des points de terminaison régionaux pour chaque API.
Par exemple,
https://europe-backstory.googleapis.comouhttps://asia-southeast1-backstory.googleapis.com.Si vous ne savez pas quel point de terminaison utiliser, [contactez l'Cloud Customer Care](/chronicle/docs/getting-support).
La valeur par défaut est
https://backstory.googleapis.com.User's Service AccountObligatoire.
Le contenu du fichier JSON du compte de service de votre instance Google SecOps SIEM.
Verify SSLObligatoire.
Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur Google SecOps SIEM.
Cette option est activée par défaut.
Pour terminer la configuration, cliquez sur Enregistrer.
Si le bouton Enregistrer est inactif, assurez-vous d'avoir défini tous les paramètres obligatoires.
Facultatif : Pour exécuter le job immédiatement après l'avoir enregistré, cliquez sur Exécuter maintenant.
L'option Exécuter maintenant vous permet de déclencher une seule exécution de job qui synchronise les données actuelles des alertes et des demandes Google SecOps SOAR avec Google SecOps SIEM.
Messages de journal et gestion des exceptions
| Journal | Niveau | Description |
|---|---|---|
|
ERREUR | Le compte de service fourni dans le paramètre "Compte de service de l'utilisateur" est corrompu. |
|
ERREUR | La version actuelle de l'instance de la plate-forme Google SecOps ne permet pas l'exécution du script de job Google Chronicle Alerts Creator. Cette erreur signifie que la version du build de l'instance est antérieure à la version 6.2.30. |
|
ERREUR | Les valeurs du compte de service ou de la racine de l'API ne peuvent pas être validées par rapport à l'instance Google SecOps SIEM. Cette erreur est signalée si le test de connectivité échoue. |
|
INFO | Message de journal indiquant que le job a démarré. |
|
INFO | Message de journal indiquant que la fonction principale a démarré. |
|
INFO | Message de journal indiquant le numéro d'itération de la tentative consécutive actuelle. |
|
INFO | Message de journal indiquant que le code ne récupère pas plus de BATCH_SIZE nouvelles alertes à partir de SOAR. |
|
INFO | Message de journal indiquant que les alertes SOAR NUMBER_OF_NEW_ALERTS ont été récupérées. |
|
INFO | Message de journal indiquant qu'aucune nouvelle alerte SOAR n'a été trouvée et que le job s'arrête. |
|
INFO | Message de journal indiquant que le job a récupéré les alertes SOAR avec les identifiants suivants dans la liste des ID. Vous pouvez utiliser ces informations pour suivre la progression du job et résoudre les problèmes liés au code. |
|
INFO | Message de journal indiquant que le job distribue des alertes SOAR à SIEM. |
|
ERREUR | Message de journal indiquant que l'alerte n'a pas été créée correctement dans le SIEM en raison d'une erreur. |
|
INFO | Message de journal indiquant que le job met à jour SOAR avec la réponse SIEM. |
|
AVERTISSEMENT | Indique que SOAR n'a pas pu mettre à jour l'état de la synchronisation des alertes. |
|
INFO | Message du journal indiquant qu'un total de total_synced alertes ont été synchronisées lors de l'exécution actuelle. |
|
INFO | Message de journal indiquant que le job est terminé. |
|
ERREUR | Message de journal indiquant qu'une exception s'est produite dans la fonction principale. Le message d'exception est inclus dans le message du journal. |
Cas d'utilisation
L'intégration de Google Chronicle vous permet d'exécuter les cas d'utilisation suivants :
- Enquête et réponse aux menaces Windows dans Chronicle
- Security Command Center et Chronicle Cloud DIR
Installer le cas d'utilisation
Dans Google SecOps Marketplace, accédez à l'onglet Cas d'utilisation.
Dans un champ de recherche, saisissez le nom du cas d'utilisation.
Cliquez sur le cas d'utilisation.
Suivez les étapes de configuration et les instructions de l'assistant d'installation.
Une fois l'opération terminée, tous les composants requis sont installés sur votre machine Google SecOps. Pour finaliser l'installation, configurez le bloc Initialization (Initialisation) dans le playbook correspondant à votre cas d'utilisation.
Enquête et réponse sur les menaces Windows avec Chronicle
Utilisez la puissance de Google SecOps pour répondre en temps réel aux menaces Windows dans votre environnement. Grâce à Threat Intelligence pour Google SecOps, les équipes de sécurité peuvent profiter d'un service de renseignements sur les menaces de haute fidélité avec Google SecOps. Les menaces réelles dans votre environnement peuvent désormais être triées et corrigées automatiquement en un temps court et efficace.
Dans Google SecOps, accédez à Réponse > Playbooks.
Sélectionnez le playbook Google Chronicle : analyse et réponse aux menaces Windows. Le playbook s'ouvre dans la vue du concepteur de playbook.
Double-cliquez sur Set Initialization Block_1. La boîte de dialogue de configuration du bloc s'ouvre.
Pour configurer le playbook, utilisez les paramètres suivants :
Paramètre d'entrée Valeurs possibles Description edr_product- CrowdStrike
- Carbon Black
- Aucun
Produit EDR à utiliser dans le playbook. itsm_product- Service Now
- Jira
- ZenDesk
- Aucun
Produit ITSM à utiliser dans le playbook. Jira nécessite une configuration supplémentaire dans le bloc "Ouvrir un ticket". crowdstrike_use_spotlightTrueouFalseSi la valeur est True, le playbook exécute les actions Crowdstrike qui nécessitent une licence Spotlight (informations sur les failles).use_mandiantTrueouFalseSi la valeur est True, le playbook exécute le bloc Mandiant.slack_userNom d'utilisateur ou adresse e-mail Nom d'utilisateur ou adresse e-mail de l'utilisateur Slack. Si aucun n'est fourni, le playbook ignore les blocs Slack. Cliquez sur Enregistrer. La boîte de dialogue de configuration du bloc se ferme.
Dans le volet du concepteur de playbooks, cliquez sur Enregistrer.
Pour tester le playbook dans le cas d'utilisation, ingérez le cas de test inclus dans le package. Il est possible que certaines fonctionnalités de scénarios de test échouent, car les données utilisées pour les tests ne sont pas disponibles dans votre environnement.
Security Command Center et Chronicle Cloud DIR
Intégrez Security Command Center à Google SecOps SIEM pour permettre à vos analystes d'examiner les incidents et les menaces détectés par Security Command Center.
Configurer le cas d'utilisation
Le cas d'utilisation vous oblige à configurer les intégrations suivantes :
- Siemplify
- Outils
- Mitre ATT&CK
- Google Cloud IAM
- Google Chronicle
- Fonctions
- Google Cloud Compute
- E-mail V2
- VirusTotal v3
Les intégrations Google Security Command Center et Mandiant sont facultatives.
Assurez-vous d'avoir installé le cas d'utilisation avant de le configurer.
- Dans Google SecOps, accédez à l'onglet Playbooks.
- Sélectionnez le playbook SCC & Chronicle Cloud DIR.
- Double-cliquez sur le bloc d'initialisation pour le configurer.
- Configurez le playbook à l'aide des paramètres suivants :
| Nom du paramètre | Valeurs possibles | Description |
|---|---|---|
Mandiant_Enrichment |
True ou False |
Si la valeur est L'intégration Mandiant doit être configurée pour cette configuration. Vous pouvez supprimer l'enrichissement si vous obtenez rarement des informations utiles. La suppression du bloc d'enrichissement améliore la vitesse d'exécution du playbook. |
SCC_Enrichment |
True ou False |
Si la valeur est L'intégration de Security Command Center doit être configurée pour cette configuration. Vous pouvez supprimer l'enrichissement si vous obtenez rarement des informations utiles. La suppression du bloc d'enrichissement améliore la vitesse d'exécution du playbook. |
IAM_Enrichment |
True ou False |
Si la valeur est True, le playbook utilise les fonctionnalités IAM pour un enrichissement supplémentaire. Vous pouvez supprimer l'enrichissement si vous obtenez rarement des informations utiles. La suppression du bloc d'enrichissement améliore la vitesse d'exécution du playbook. |
Compute_Enrichment |
True ou False |
Si la valeur est True, le playbook utilise les fonctionnalités Compute Engine pour un enrichissement supplémentaire. Vous pouvez supprimer l'enrichissement si vous obtenez rarement des informations utiles. La suppression du bloc d'enrichissement améliore la vitesse d'exécution du playbook. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.