Mengintegrasikan Google Chronicle dengan Google SecOps
Dokumen ini menjelaskan cara mengintegrasikan Google Chronicle dengan Google Security Operations (Google SecOps).
Versi integrasi: 64.0
Kasus penggunaan
Integrasi Google Chronicle dapat menangani kasus penggunaan berikut:
Investigasi dan perbaikan phishing otomatis: Gunakan kemampuan SOAR Google SecOps untuk otomatis membuat kueri data email historis, log aktivitas pengguna, dan intelijen ancaman untuk menilai keabsahan email. Perbaikan otomatis dapat membantu Anda melakukan triase dan penanganan dengan mencegah penyebaran malware atau pelanggaran data.
Pengayaan pemberitahuan keamanan: Gunakan kemampuan Google SecOps SOAR untuk memperkaya pemberitahuan yang dihasilkan di SIEM dengan konteks historis, seperti perilaku pengguna di masa lalu dan informasi aset. Hal ini memberikan tampilan komprehensif tentang insiden kepada analis, sehingga memungkinkan pengambilan keputusan yang lebih cepat dan tepat.
Perburuan ancaman berdasarkan insight Google SecOps: Gunakan kemampuan SOAR Google SecOps untuk mengotomatiskan proses kueri alat keamanan lain untuk mendapatkan indikator kompromi (IOC) terkait. Hal ini dapat membantu Anda mengidentifikasi potensi pelanggaran secara proaktif sebelum meluas.
Playbook respons insiden otomatis: Gunakan kemampuan SOAR Google SecOps untuk memicu playbook yang telah ditentukan sebelumnya yang menggunakan data Google SecOps untuk mengisolasi sistem yang terkompromi, memblokir alamat IP berbahaya, dan memberi tahu pemangku kepentingan yang relevan. Hal ini dapat mengurangi waktu respons insiden dan meminimalkan dampak insiden keamanan.
Pelaporan dan audit kepatuhan: Gunakan kemampuan SOAR Google SecOps untuk mengotomatiskan pengumpulan data keamanan dari Google SecOps untuk pelaporan kepatuhan, menyederhanakan proses audit, dan mengurangi upaya manual.
Sebelum memulai
Sebelum mengonfigurasi integrasi Google Chronicle di Google SecOps, pastikan Anda memiliki hal berikut:
Google Cloud project: Akses ke project Google Cloud yang aktif.
Izin: Peran Identity and Access Management (IAM) yang diperlukan di projectGoogle Cloud Anda untuk membuat dan mengelola Akun Layanan dan kebijakan IAM.
Mengonfigurasi integrasi
Langkah-langkah konfigurasi bergantung pada jenis deployment Google SecOps Anda:
Deployment SecOps terpadu: Jika instance Google SecOps Anda adalah bagian dari deployment SecOps terpadu (terintegrasi dengan SIEM Google Security Operations), integrasi biasanya memanfaatkan Akun Layanan default yang dikelola oleh Google. Dalam hal ini, Anda tidak perlu mengupload kunci JSON Akun Layanan atau mengonfigurasi Workload Identity secara manual. Izin yang diperlukan telah dikonfigurasi sebelumnya atau diwarisi dari lingkungan host.
Deployment SOAR mandiri: Jika instance Google SecOps Anda adalah deployment SOAR mandiri (tidak terintegrasi dengan Google Security Operations SIEM), Anda harus mengonfigurasi autentikasi secara manual menggunakan salah satu metode berikut:
File kunci JSON Akun Layanan
Workload Identity Federation
Autentikasi dengan kunci JSON Akun Layanan
Proses autentikasi untuk kunci JSON Akun Layanan berbeda antara Chronicle API dan Backstory API.
Autentikasi Chronicle API (direkomendasikan)
Untuk menggunakan Chronicle API, Anda harus membuat Akun Layanan di projectGoogle Cloud .
Di konsol Google Cloud , buka IAM & Admin > Service Accounts.
Pilih Buat Akun Layanan dan ikuti perintah untuk membuat Akun Layanan yang diperlukan.
Pilih alamat email Akun Layanan baru dan buka Keys > Add Key > Create new key.
Pilih
JSONsebagai jenis kunci, lalu klik Buat. File kunci JSON akan didownload ke komputer Anda.Di Izin > Kelola akses, tetapkan peran IAM khusus Google SecOps yang diperlukan ke Akun Layanan.
Autentikasi Backstory API
Untuk menggunakan Backstory API, Akun Layanan diperlukan. Administrator harus membuat akun ini untuk Anda.
Hubungi Dukungan Google SecOps dan minta Akun Layanan untuk Backstory API. Berikan detail yang diperlukan untuk deployment SOAR Anda.
Dukungan SecOps Google akan memberi Anda file kunci JSON untuk Akun Layanan.
Gunakan kunci yang diberikan dalam konfigurasi integrasi.
Autentikasi dengan Workload Identity (direkomendasikan)
Workload Identity adalah metode autentikasi yang direkomendasikan dan lebih aman untuk deployment SOAR mandiri. Hal ini menghilangkan kebutuhan untuk mengelola kunci Akun Layanan yang aktif dalam waktu lama dengan mengaktifkan kredensial gabungan yang berlaku singkat.
Untuk menyiapkan autentikasi dengan Workload Identity, ikuti langkah-langkah berikut:
Buat Kumpulan dan Penyedia Workload Identity:
Di konsol Google Cloud , buka IAM & Admin > Workload Identity Federation.
Ikuti perintah untuk membuat Workload Identity Pool, lalu Workload Identity Pool Provider yang memercayai Google SecOps sebagai identitas eksternal.
Anda dapat mengonfigurasi penyedia agar memercayai Google SecOps sebagai sumber identitas eksternal menggunakan OpenID Connect (OIDC).
-
Di Google Cloud konsol, buka IAM & Admin > Service Accounts.
Buat Akun Layanan khusus di project Google Cloud Anda. Akun ini akan di-impersonate oleh beban kerja eksternal (Google SecOps).
Memberikan izin ke Akun Layanan:
Tetapkan peran IAM khusus Google SecOps yang diperlukan (misalnya, Pelihat Chronicle, Editor Operasi Keamanan Chronicle) ke Akun Layanan.
Berikan peran
Service Account Token Creatorke Penyedia Workload Identity Pool yang Anda buat. Izin ini memungkinkan penyedia meniru identitas Akun Layanan ini.
Konfigurasi hubungan kepercayaan:
Buat hubungan tepercaya antara Penyedia Workload Identity Pool dan Akun Layanan Anda. Hal ini menautkan identitas eksternal (yang mewakili Google SecOps) ke Google Cloud Akun Layanan.
Konfigurasi parameter integrasi:
Dalam dialog konfigurasi integrasi, masukkan alamat email Akun Layanan di kolom Email Workload Identity.
Untuk mengetahui petunjuk yang lebih mendetail tentang cara menyiapkan Workload Identity Federation, lihat Google Cloud Workload Identity.
Parameter integrasi
Integrasi Google Chronicle memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
UI Root |
Wajib. URL dasar antarmuka SIEM Google SecOps. ID ini digunakan untuk membuat link langsung secara otomatis kembali ke platform SIEM dari catatan kasus Anda. Nilai defaultnya adalah
|
API Root |
Wajib. Root API untuk instance SIEM Google SecOps Anda. Nilai bergantung pada metode autentikasi Anda:
Menggunakan kredensial yang salah untuk root API akan menyebabkan kegagalan koneksi. |
User's Service Account |
Opsional. Konten lengkap file kunci JSON Akun Layanan. Jika parameter ini dan |
Workload Identity Email |
Opsional. Alamat email klien Workload Identity Federation Anda. Parameter ini memiliki prioritas lebih tinggi daripada file kunci Untuk menggunakan Workload Identity Federation, Anda harus memberikan
peran |
Verify SSL |
Wajib. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server SIEM SecOps Google. Diaktifkan secara default. |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.
Menambahkan Baris Ke Tabel Data
Gunakan tindakan Tambahkan Baris Ke Tabel Data untuk menambahkan baris ke tabel data di Google SecOps.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Untuk mengonfigurasi tindakan, gunakan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Data Table Name |
Wajib. Nama tampilan tabel data yang akan diperbarui. |
Rows |
Wajib. Daftar objek JSON yang berisi informasi tentang baris yang akan ditambahkan. Contoh:
{
"columnName1": "value1",
"columnName2": "value2"
}
|
Output tindakan
Tindakan Tambahkan Baris Ke Tabel Data memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Insight entitas | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan hasil JSON sampel yang ditampilkan oleh tindakan Tambahkan Baris Ke Tabel Data:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
}
}
Pesan output
Tindakan Tambahkan Baris Ke Tabel Data memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully added rows to the data table
DATA_TABLE_NAME in
Google SecOps. |
Tindakan berhasil. |
Error executing action "Add Rows to Data Table". Reason:
ERROR_REASON |
Tindakan gagal.
Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Tambahkan Baris Ke Tabel Data:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Menambahkan Nilai ke Daftar Referensi
Gunakan tindakan Tambahkan Nilai ke Daftar Referensi untuk menambahkan nilai ke daftar referensi di Google SecOps.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Untuk mengonfigurasi tindakan, gunakan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Reference List Name |
Wajib. Nama daftar referensi yang akan diupdate. |
Values |
Wajib. Daftar nilai yang dipisahkan koma untuk ditambahkan ke daftar referensi. |
Output tindakan
Tindakan Tambahkan Nilai ke Daftar Referensi memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Insight entitas | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Tambahkan Nilai ke Daftar Referensi dengan Backstory API:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Tambahkan Nilai ke Daftar Referensi dengan Chronicle API:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_NAME",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Pesan output
Tindakan Tambahkan Nilai Ke Daftar Referensi memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully added values to the reference list
REFERENCE_LIST_NAME. |
Tindakan berhasil. |
Error executing action "Add Values To Reference List". Reason:
ERROR_REASON |
Tindakan gagal.
Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Tambahkan Nilai ke Daftar Referensi:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Minta Gemini
Gunakan tindakan Minta Gemini untuk mengirim perintah teks ke Gemini di Google SecOps.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Untuk mengonfigurasi tindakan, gunakan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Automatic Opt-in |
Opsional. Jika dipilih, playbook akan otomatis mengikutsertakan pengguna dalam percakapan Gemini tanpa memerlukan konfirmasi manual. Diaktifkan secara default. |
Prompt |
Wajib. Perintah atau pertanyaan teks awal yang akan dikirim ke Gemini. |
Output tindakan
Tindakan Minta Gemini memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Insight entitas | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Tanya Gemini:
{
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/users/me/conversations/db3b0fc2-94f8-42ae-b743-c3693f593269/messages/b58e3186-e697-4400-9da8-8ef252a20bd9",
"input": {
"body": "Is IP 159.138.84.217 malicious? What can you tell me about it?"
},
"responses": [
{
"blocks": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<p>The IP address 159.138.84.217 is associated with malware and threat actors.</p>\n<ul>\n<li>It is an IPv4 indicator.</li>\n<li>It is associated with BEACON malware.</li>\n<li>It is categorized as malware-Backdoor.</li>\n<li>It has a low confidence, high severity threat rating.</li>\n<li>VirusTotal's IP Address Report indicates the network for this IP is 159.138.80.0/20, and the IP is associated with HUAWEI CLOUDS in Singapore.</li>\n<li>VirusTotal's last analysis on April 22, 2025, showed 8 malicious detections out of 94 sources.</li>\n</ul>\n<p>I might have more details for a question with more context (e.g., what is the source of the IP, what type of network traffic is associated with the IP).</p>\n"
}
}
],
"references": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<ol>\n<li><a href=\"https://advantage.mandiant.com/indicator/ipv4/159.138.84.217\" target=\"_blank\">Mandiant - indicator - 159.138.84.217</a></li>\n</ol>\n"
}
}
],
"groundings": [
"IP address 159.138.84.217 malicious cybersecurity",
"IP address 159.138.84.217 threat intelligence"
]
}
],
"createTime": "2025-05-16T11:31:36.660538Z"
}
}
Pesan output
Tindakan Minta Gemini memberikan output pesan berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully executed a prompt in Google SecOps. |
Tindakan berhasil. |
Error executing action "GoogleChronicle - Ask Gemini".
Reason: ERROR_REASON |
Tindakan gagal.
Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Tanya Gemini:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Memperkaya Domain - Tidak digunakan lagi
Gunakan tindakan Perkaya Domain untuk memperkaya domain menggunakan informasi dari IoC di SIEM Google SecOps.
Tindakan ini berjalan di entity Google SecOps berikut:
URLHostname
Input tindakan
Tindakan Perkaya Domain memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Create Insight |
Jika dipilih, tindakan akan membuat insight yang berisi informasi tentang
entitas. Diaktifkan secara default. |
Only Suspicious Insight |
Jika dipilih, tindakan hanya akan membuat insight untuk entity yang ditandai sebagai mencurigakan. Tidak diaktifkan secara default. Jika memilih parameter ini, Anda juga harus memilih
|
Lowest Suspicious Severity |
Wajib. Tingkat keparahan terendah yang terkait dengan domain diperlukan untuk menandainya sebagai mencurigakan. Nilai defaultnya adalah
|
Mark Suspicious N/A Severity |
Wajib. Jika dipilih dan informasi tentang tingkat keparahan tidak tersedia, tindakan akan menandai entitas sebagai mencurigakan. |
Output tindakan
Tindakan Perkaya Domain memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tersedia |
| Insight entitas | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Tabel repositori kasus
Tindakan Perkaya Domain memberikan tabel berikut:
Nama: ENTITY_IDENTIFIER
Kolom:
- Sumber
- Keparahan
- Kategori
- Keyakinan
Pengayaan entitas
Tindakan Enrich Domain mendukung logika pengayaan entitas berikut:
| Kolom pengayaan | Logika (kapan harus diterapkan) |
|---|---|
severity |
Jika tersedia dalam JSON |
average_confidence |
Jika tersedia dalam JSON |
related_domains |
Jika tersedia dalam JSON |
categories |
Jika tersedia dalam JSON |
sources |
Jika tersedia dalam JSON |
first_seen |
Jika tersedia dalam JSON |
last_seen |
Jika tersedia dalam JSON |
report_link |
Jika tersedia dalam JSON |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Perkaya Domain dengan Backstory API:
{
{
"sources": [
{
"source": "ET Intelligence Rep List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Perkaya Domain dengan Chronicle API:
[
{
"Entity": "example.com",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
},
{
"category": "Phishing",
"firstActiveTime": null,
"lastActiveTime": "2020-11-27T14:31:37Z",
"addresses": [
{
"domain": "example.com"
},
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "high",
"confidenceScore": {
"strRawConfidenceScore": "high"
}
},
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
},
{
"metadata": {
"title": "ESET Threat Intelligence",
"description": "ESET Threat Intelligence"
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Phishing",
"activeTimerange": {
"end": "2020-11-27T14:31:37Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "High",
"rawSeverity": "High"
}
]
},
{
"metadata": {
"title": "Mandiant Active Breach Intelligence",
"description": "Mandiant Active Breach IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
}
]
}
}
]
Pesan output
Tindakan Perkaya Domain memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully enriched the following domain in Google Chronicle:
LIST_OF_IDS |
Tindakan berhasil. |
Error executing action "Enrich Domain". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Perkaya Domain:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Memperkaya Entitas
Gunakan tindakan Enrich Entities untuk membuat kueri Google SecOps guna mendapatkan konteks dan atribut tambahan untuk jenis entity tertentu. Tindakan ini meningkatkan kualitas data investigasi ancaman dengan mengintegrasikan kecerdasan eksternal.
Tindakan ini berjalan di entity Google SecOps berikut:
DomainFile HashHostnameIP AddressURL(mengekstraksi domain dari URL)UserEmail(entitas pengguna dengan regex email)
Input tindakan
Tindakan Enrich Entities memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Namespace |
Opsional. Pengelompokan atau cakupan logis entity yang akan di-enrich. Jika tidak dipilih, pengayaan akan diterapkan ke entity di namespace default atau semua namespace yang dapat diakses. Entitas harus termasuk dalam namespace ini agar dapat diproses. |
Time Frame |
Opsional. Jangka waktu relatif (misalnya, Parameter ini lebih diprioritaskan daripada |
Start Time |
Opsional. Waktu mulai untuk periode pengayaan dalam format ISO 8601. Gunakan ini dengan |
End Time |
Opsional. Waktu berakhir absolut untuk periode pengayaan dalam format ISO 8601. Digunakan dengan |
Output tindakan
Tindakan Enrich Entities memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
| Kolom pengayaan | Sumber (kunci JSON) | Penerapan |
|---|---|---|
GoogleSecOps_related_entities |
Jumlah related_entities | Jika tersedia di hasil JSON. |
GoogleSecOps_alert_count_ruleName |
{alertCounts.count} untuk setiap aturan tertentu | Jika tersedia di hasil JSON. |
GoogleSecOps_first_seen |
metric.firstSeen |
Jika tersedia di hasil JSON. |
GoogleSecOps_last_seen |
metric.lastSeen |
Jika tersedia di hasil JSON. |
GoogleSecOps_flattened_key_under_entity |
Nilai kunci, diratakan dari struktur bertingkat di bawah
objek "entity". |
Jika tersedia di hasil JSON. |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Enrich Entities:
[
{
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"domain": {
"name": "markossolomon.com",
"firstSeenTime": "1970-01-01T00:00:00Z",
"lastSeenTime": "1970-01-01T00:00:00Z",
"registrar": "NameCheap, Inc.",
"creationTime": "2013-12-06T02:41:09Z",
"updateTime": "2019-11-06T11:48:33Z",
"expirationTime": "2020-12-06T02:41:09Z",
"registrant": {
"userDisplayName": "WhoisGuard Protected",
"emailAddresses": [
"58d09cb5035042e9920408f8bafd0869.protect@whoisguard.com"
],
"personalAddress": { "countryOrRegion": "PANAMA" },
"companyName": "WhoisGuard, Inc."
}
}
}
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "npatni-sysops",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "npatni-sysops" }
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "329" },
{ "rule": "rule_testbucket", "count": "339" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "332" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 1000 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "exlab2019-ad",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "exlab2019-ad" }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.30.202.229",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "ip": ["172.30.202.229"] }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.17.0.1",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": { "namespace": "Yuriy", "asset": { "ip": ["172.17.0.1"] } },
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
}
},
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "911d039e71583a07320b32bde22f8e22",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"file": {
"sha256": "bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527",
"md5": "911d039e71583a07320b32bde22f8e22",
"sha1": "ded8fd7f36417f66eb6ada10e0c0d7c0022986e9",
"size": "278528",
"fileType": "FILE_TYPE_PE_EXE",
"names": [
"C:\\Windows\\System32\\cmd.exe",
"cmd",
"Cmd.Exe",
"C:\\Windows\\system32\\cmd.exe",
"C:\\Windows\\SYSTEM32\\cmd.exe",
"cmd.exe",
"C:\\\\Windows\\\\System32\\\\cmd.exe",
"C:\\windows\\SYSTEM32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\wjxpour4.d0f\\cmd.exe",
"c:\\Windows\\System32\\cmd.exe",
"Utilman.exe",
"c:\\windows\\system32\\cmd.exe",
"System32/cmd.exe",
"UtilityVM/Files/Windows/System32/cmd.exe",
"KerishDoctor/Data/KerishDoctor/Restore/cmd.rst",
"cmd.exe_",
"C:\\WINDOWS\\SYSTEM32\\cmd.exe",
"Cmd.exe",
"Windows/System32/cmd.exe",
"sethc.exe",
"C:\\WINDOWS\\System32\\cmd.exe",
"esRzqurX.exe",
"rofl.png",
"F:\\Windows\\SYSTEM32\\cmd.exe",
"utilman.exe",
"C:\\Windows\\system32\\CMD.exe",
"sys32exe/cmd.exe",
"cmd.txt",
"C:\\WINDOWS\\system32\\cmd.exe",
"cmd2.exe",
"Utilman.exe.sc",
"uhrHRIv8.exe",
"C:\\windows\\system32\\cmd.exe",
"submitted_file",
"C:\\Users\\user\\AppData\\Local\\Temp\\n1qo0bq3.2tn\\KerishDoctor\\Data\\KerishDoctor\\Restore\\cmd.rst",
"J6ff7z0hLYo.exe",
"N:\\Windows\\System32\\cmd.exe",
"Q:\\Windows\\System32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\cmd.exe",
"C:\\Users\\<USER>\\AppData\\Local\\Temp\\cmd.exe",
"test.exe",
"68E2F01F8DE9EFCAE9C0DD893DF0E8C34E2B5C98A6C4073C9C9E8093743D318600.blob",
"8FCVE0Kq.exe",
"cmd (7).exe",
"cmd (8).exe",
"21455_16499564_bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527_cmd.exe",
"LinX v0.9.11 (Intel)/cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\inbvmkaa.1xd\\LinX v0.9.11 (Intel)\\cmd.exe",
"cmd_b.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\sfd5bhoe.nqi\\cmd.exe",
"cMd.exe",
"Repl_Check.bat__",
"cmd.pdf",
"cmd.EXE",
"C:\\Users\\user\\AppData\\Local\\Temp\\uszjr42t.kda\\cmd.exe",
"LFepc1St.exe",
"firefox.exe",
"3BcnNlWV.exe",
"Utilman.exebak",
"utilman1.exe",
"1.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\ispvscgp.ep2\\sys32exe\\cmd.exe",
"cmd_1771019736291028992.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\xijgwqvd.54g\\cmd.exe",
"Sethc.exe",
"\\Device\\CdRom1\\DANFE352023067616112\\DANFE352023067616112.EXE",
"DANFE352023067616112.exe",
"file.exe",
"DANFE352023067616112/DANFE352023067616112.exe",
"C:\\Windows\\SYSTEM32\\Cmd.exe",
"pippo.exe",
"C:\\Windows\\System32\\sethc.exe",
"cmd.exe-bws024-windowsfolder",
"whatever.exe",
"sethc.exe.bak",
"S71dbOR1.exe",
"F:\\windows\\SYSTEM32\\cmd.exe",
"L6puhWL7.exe",
"DANFE357986551413927.exe",
"DANFE357666506667634.exe",
"\\Device\\CdRom1\\DANFE357666506667634\\DANFE357666506667634.EXE",
"\\Device\\CdRom1\\DANFE357986551413927\\DANFE357986551413927.EXE",
"\\Device\\CdRom1\\DANFE358567378531506\\DANFE358567378531506.EXE",
"\\Device\\CdRom1\\HtmlFactura3f48daa069f0e42253194ca7b51e7481DPCYKJ4Ojk\\HTMLFACTURA3F48DAA069F0E42253194CA7B51E7481DPCYKJ4OJK.EXE",
"\\Device\\CdRom1\\DANFE357410790837014\\DANFE357410790837014.EXE",
"\\Device\\CdRom1\\DANFE357702036539112\\DANFE357702036539112.EXE",
"winlogon.exe",
"AccessibilityEscalation.A' in file 'utilman.exe'",
"qpl9AqT0.exe",
"C:\\windows\\system32\\CMD.exe",
"C:\\po8az\\2po9hmc\\4v1b5.exe",
"batya.exe",
"nqAwJaba.exe",
"\\Device\\CdRom1\\DANFE356907191810758\\DANFE356907191810758.EXE",
"/Volumes/10_11_2023/DANFE356907191810758/DANFE356907191810758.exe",
"/Volumes/09_21_2023/DANFE357986551413927/DANFE357986551413927.exe",
"\\Device\\CdRom1\\DANFE355460800350113\\DANFE355460800350113.EXE",
"/Volumes/09_19_2023/DANFE355460800350113/DANFE355460800350113.exe",
"DANFE352429512050669.exe",
"/Volumes/04_15_2023/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3.exe"
],
"firstSeenTime": "2024-12-15T09:07:02Z",
"lastSeenTime": "2025-07-18T07:43:59.045Z",
"lastAnalysisTime": "2025-07-16T10:06:40Z",
"signatureInfo": {
"sigcheck": {
"verificationMessage": "Signed",
"verified": true,
"signers": [{ "name": "Microsoft Windows" }]
}
},
"firstSubmissionTime": "2025-07-15T16:30:27Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "329" },
{ "rule": "rule_testbucket", "count": "345" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "326" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{ "alertCount": 31 },
{ "alertCount": 111 },
{ "alertCount": 109 },
{ "alertCount": 82 },
{ "alertCount": 86 },
{ "alertCount": 98 },
{ "alertCount": 86 },
{ "alertCount": 85 },
{ "alertCount": 92 },
{ "alertCount": 89 },
{ "alertCount": 90 },
{ "alertCount": 41 }
],
"bucketSize": "172800s"
},
"prevalenceResult": [
{ "prevalenceTime": "2025-01-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-16T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-17T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-18T00:00:00Z", "count": 2 }
],
"relatedEntities": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiFQoGCPbso7wGEgsIv_bnwwYQwMq6FQ",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"hostname": "exlab2019-ad",
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIVCgYI9uyjvAYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"ip": ["172.30.202.229"],
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
}
]
}
},
{
"Entity": "tencent.com",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"domain": {
"name": "tencent.com",
"firstSeenTime": "2025-01-14T14:01:00Z",
"lastSeenTime": "2025-01-14T15:02:00Z",
"registrar": "MarkMonitor Information Technology (Shanghai) Co., Ltd.",
"creationTime": "1998-09-14T04:00:00Z",
"updateTime": "2024-08-20T08:04:01Z",
"expirationTime": "2032-09-13T04:00:00Z",
"registrant": {
"emailAddresses": [""],
"personalAddress": { "countryOrRegion": "CHINA" },
"companyName": "\u6df1\u5733\u5e02\u817e\u8baf\u8ba1\u7b97\u673a\u7cfb\u7edf\u6709\u9650\u516c\u53f8"
}
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "00:50:56:b6:34:86",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "mac": ["00:50:56:b6:34:86"] }
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
}
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
}
]
Pesan output
Tindakan Perkaya Entitas dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perkaya Entitas:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Memperkaya IP - Tidak digunakan lagi
Gunakan tindakan Perkaya IP untuk memperkaya entitas IP menggunakan informasi dari IoC di Google SecOps SIEM.
Tindakan ini dijalankan pada entity `Alamat IP`.
Input tindakan
Tindakan Perkaya IP memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Create Insight |
Opsional. Jika dipilih, tindakan ini akan membuat insight yang berisi informasi tentang entitas.Diaktifkan secara default. |
Only Suspicious Insight |
Opsional. Jika dipilih, tindakan ini hanya membuat insight untuk entitas yang ditandai sebagai mencurigakan.Tidak diaktifkan secara default. Jika Anda memilih parameter ini, |
Lowest Suspicious Severity |
Wajib. Tingkat keparahan terendah yang terkait dengan alamat IP untuk menandainya mencurigakan. Nilai defaultnya adalah
|
Mark Suspicious N/A Severity |
Wajib. Jika dipilih dan informasi tentang tingkat keparahan tidak tersedia, tindakan akan menandai entitas sebagai mencurigakan. |
Output tindakan
Tindakan Enrich IP memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Tabel repositori kasus
Nama: ENTITY_IDENTIFIER
Kolom:
- Sumber
- Keparahan
- Kategori
- Keyakinan
- Domain Terkait
Pengayaan entitas
Tindakan Enrich IP mendukung logika pengayaan entitas berikut:
| Kolom pengayaan | Logika (kapan harus diterapkan) |
|---|---|
severity |
Jika tersedia dalam JSON |
average_confidence |
Jika tersedia dalam JSON |
related_domains |
Jika tersedia dalam JSON |
categories |
Jika tersedia dalam JSON |
sources |
Jika tersedia dalam JSON |
first_seen |
Jika tersedia dalam JSON |
last_seen |
Jika tersedia dalam JSON |
report_link |
Jika tersedia dalam JSON |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Enrich IP dengan Backstory API:
{
{
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Perkaya IP dengan Chronicle API:
[
{
"Entity": "192.0.2.121",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "low",
"confidenceScore": {
"strRawConfidenceScore": "67"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "67",
"rawSeverity": "Low"
}
]
}
]
}
}
]
Pesan output
Tindakan Enrich IP memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully enriched the following IPs from Google Chronicle:
LIST_OF_IPS |
Tindakan berhasil. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Enrich IP:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menjalankan Retrohunt
Gunakan tindakan Jalankan Retrohunt untuk menjalankan retrohunt aturan di Google SecOps.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Execute Retrohunt memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Rule ID |
Wajib. ID aturan untuk menjalankan retrohunt. Gunakan format |
Time Frame |
Opsional. Periode untuk mengambil hasil. Kemungkinan nilainya adalah sebagai berikut:
Jika Nilai defaultnya adalah |
Start Time |
Waktu mulai untuk hasil dalam format ISO 8601. Parameter ini wajib diisi jika parameter |
End Time |
Waktu berakhir untuk hasil dalam format ISO 8601.
Jika Anda tidak menetapkan nilai dan memilih nilai |
Output tindakan
Tindakan Execute Retrohunt memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Insight entitas | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Execute Retrohunt dengan Backstory API:
{
"retrohuntId": "oh_d738c8ea-8fd7-4cc1-b43d-25835b8e1785",
"ruleId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497",
"versionId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497@v_1612472807_179679000",
"eventStartTime": "2021-01-14T23:00:00Z",
"eventEndTime": "2021-01-30T23:00:00Z",
"retrohuntStartTime": "2021-02-08T02:40:59.192113Z",
"state": "RUNNING"
}
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Execute Retrohunt dengan Chronicle API:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/RetrohuntMetadata",
"retrohunt": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID/retrohunts/RETROHUNT_ID",
"executionInterval": {
"startTime": "2025-01-22T12:16:20.963182Z",
"endTime": "2025-01-23T12:16:20.963182Z"
}
},
"retrohuntId": "RETROHUNT_ID",
"ruleId": "RULE_ID",
"versionId": "VERSION_ID",
"eventStartTime": "2025-01-22T12:16:20.963182Z",
"eventEndTime": "2025-01-23T12:16:20.963182Z"
}
Pesan output
Tindakan Execute Retrohunt memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully executed a retrohunt for the provided rule in Google
Chronicle.
|
Tindakan berhasil. |
Error executing action "Execute Retrohunt". Reason:
ERROR_REASON |
Tindakan gagal.
Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Execute Retrohunt:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menjalankan Kueri UDM
Gunakan tindakan Jalankan Kueri UDM untuk menjalankan kueri UDM kustom di Google SecOps.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Execute UDM Query memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Query String |
Wajib. Kueri yang akan dijalankan di Google SecOps. |
Time Frame |
Opsional. Periode untuk mengambil hasil. Kemungkinan nilainya adalah sebagai berikut:
Jika Nilai defaultnya adalah |
Start Time |
Opsional. Waktu mulai untuk hasil dalam format ISO 8601 (misalnya,
Parameter ini wajib diisi jika parameter Rentang waktu maksimum adalah 90 hari. |
End Time |
Opsional. Waktu berakhir untuk hasil dalam format ISO 8601 (misalnya,
Jika Anda tidak menetapkan nilai dan
parameter Rentang waktu maksimum adalah 90 hari. |
Max Results To Return |
Opsional. Jumlah hasil yang akan ditampilkan untuk satu kueri. Nilai maksimum adalah Nilai defaultnya adalah |
Output tindakan
Tindakan Execute UDM Query memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Execute UDM Query:
{
"events":[
"event":{
"metadata":{
"eventTimestamp":"2022-01-20T09:15:15.687Z",
"eventType":"USER_LOGIN",
"vendorName":"Example Vendor",
"productName":"Example Product",
"ingestedTimestamp":"2022-01-20T09:45:07.433587Z"
},
"principal":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.0"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
],
"location":{
"city":"San Francisco",
"state":"California",
"countryOrRegion":"US"
},
"asset":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.1",
"203.0.113.1",
"203.0.113.1"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
]
}
},
"target":{
"user":{
"userid":"Example",
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-4712406912-7108061610-2717800068-993683",
"emailAddresses":[
"example@example.com",
"admin.example@example.com"
],
"employeeId":"2406187",
"productObjectId":"f93f1540-4935-4266-aa8e-a750a319aa1c",
"firstName":"Example",
"lastName":"User",
"phoneNumbers":[
"555-01-75"
],
"title":"Executive Assistant",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
],
"managers":[
{
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-6051382818-4135626959-8120238335-834071",
"emailAddresses":[
"user@example.com"
],
"employeeId":"5478500",
"productObjectId":"8b3924d5-6157-43b3-857b-78aa6bd94705",
"firstName":"User",
"lastName":"Example",
"phoneNumbers":[
"555-01-75"
],
"title":"Chief Technology Officer",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
]
}
]
},
"ip":[
"198.51.100.1"
],
"email":"email@example.com",
"application":"Example Sign In"
},
"securityResult":[
{
"summary":"Successful Login",
"action":[
"ALLOW"
]
}
],
"extensions":{
"auth":{
"type":"SSO"
}
}
},
"eventLogToken":"96f23eb9ffaa9f7e7b0e2ff5a0d2e34c,1,1642670115687000,USER,|USER_LOGIN"
]
}
Pesan output
Tindakan Execute UDM Query memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Execute UDM Query". Reason:
ERROR_REASON
|
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action "Execute UDM Query". Reason: you've reached a
rate limit. Please wait for several minutes and try again. |
Tindakan gagal. Tunggu beberapa menit sebelum menjalankan tindakan lagi. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Jalankan Kueri UDM:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Tabel Data
Gunakan tindakan Get Data Tables untuk mengambil tabel data yang tersedia di Google SecOps.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Dapatkan Tabel Data memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Filter Key |
Opsional. Kunci yang akan difilter Opsi Kemungkinan nilainya adalah sebagai berikut: NameDescription |
Filter Logic |
Opsional. Logika filter yang akan diterapkan. Kemungkinan nilainya adalah sebagai berikut: Equal (untuk pencocokan persis)Contains(untuk kecocokan substring) |
Filter Value |
Opsional. Nilai yang akan digunakan dalam filter. Kemungkinan nilainya adalah sebagai berikut: Equal (untuk pencocokan persis)Contains(untuk kecocokan substring)
Jika tidak ada yang diberikan, filter tidak akan diterapkan. |
Expanded Rows |
Opsional. Jika dipilih, respons akan menyertakan baris tabel data yang mendetail. Tidak diaktifkan secara default. |
Max Data Tables To Return |
Wajib. Jumlah tabel data yang akan ditampilkan. Nilai maksimum adalah |
Max Data Table Rows To Return |
Wajib. Jumlah baris tabel data yang akan ditampilkan. Gunakan parameter ini hanya jika Nilai maksimum adalah |
Output tindakan
Tindakan Get Data Tables memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Get Data Tables:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table",
"displayName": "data_table",
"createTime": "2025-05-14T12:52:50.064133Z",
"updateTime": "2025-05-14T13:13:48.631442Z",
"columnInfo": [
{
"originalColumn": "columnName1",
"columnType": "STRING"
},
{
"columnIndex": 1,
"originalColumn": "columnName2",
"columnType": "STRING"
},
{
"columnIndex": 2,
"originalColumn": "columnName3",
"columnType": "STRING"
}
],
"dataTableUuid": "c3cce57bb8d940d5ac4523c37d540436",
"approximateRowCount": "2",
"rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
Pesan output
Tindakan Get Data Tables memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully found data tables for the provided criteria in Google
SecOps |
Tindakan berhasil. |
Error executing action "Get Data Tables". Reason:
ERROR_REASON |
Tindakan gagal.
Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Dapatkan Tabel Data:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Mendapatkan Detail Deteksi
Gunakan tindakan Get Detection Details untuk mengambil informasi tentang deteksi di Google SecOps.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Get Detection Details memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Rule ID |
Wajib. ID aturan yang terkait dengan deteksi. Gunakan format |
Detection ID |
Wajib. ID deteksi untuk mengambil detailnya. Jika karakter khusus diberikan, tindakan tidak akan gagal, tetapi akan menampilkan daftar deteksi. |
Output tindakan
Tindakan Get Detection Details memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Get Detection Details:
{
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "singleEventRule2",
"urlBackToProduct":
"https://INSTANCE/ruleDetections?
ruleId=ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d&selectedList=RuleDetectionsViewTimeline&
selectedParentDetectionId=de_ce594791-09ed-9681-27fa-3b7c8fa6054c&
selectedTimestamp=2020-12-03T16: 50: 47.647245Z","ruleId": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d",
"ruleVersion": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d@v_1605892822_687503000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT"
}
],
"createdTime": "2020-12-03T19:19:21.325134Z",
"id": "de_ce594791-09ed-9681-27fa-3b7c8fa6054c",
"timeWindow": {
"startTime": "2020-12-03T16:50:47.647245Z",
"endTime": "2020-12-03T16:50:47.647245Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2020-12-03T16:50:47.647245Z",
"collectedTimestamp": "2020-12-03T16:50:47.666064010Z",
"eventType": "NETWORK_DNS",
"productName": "ProductName",
"ingestedTimestamp": "2020-12-03T16:50:49.494542Z"
},
"principal": {
"ip": [
"192.0.2.1"
]
},
"target": {
"ip": [
"203.0.113.1"
]
},
"securityResult": [
{
"action": [
"UNKNOWN_ACTION"
]
}
],
"network": {
"applicationProtocol": "DNS",
"dns": {
"questions": [
{
"name": "example.com",
"type": 1,
"class": 1
}
],
"id": 12345,
"recursionDesired": true
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2020-12-03T16:50:47.647245Z"
}
Pesan output
Tindakan Get Detection Details memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully fetched information about the detection with ID
DETECTION_ID in Google Chronicle. |
Tindakan berhasil. |
Error executing action "Get Detection Details". Reason:
ERROR_REASON |
Tindakan gagal.
Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Dapatkan Detail Deteksi:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Daftar Referensi
Gunakan tindakan Dapatkan Daftar Referensi untuk mengambil daftar referensi yang tersedia di Google SecOps.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Dapatkan Daftar Referensi memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Filter Key |
Kunci yang akan digunakan untuk memfilter.
Kemungkinan nilainya adalah sebagai berikut:
|
Filter Logic |
Logika filter yang akan diterapkan. Kemungkinan nilainya adalah sebagai berikut: Equal (untuk pencocokan persis)Contains(untuk kecocokan substring)Nilai defaultnya adalah |
Filter Value |
Nilai yang akan digunakan dalam filter.
Kemungkinan nilainya adalah sebagai berikut: Equal (untuk pencocokan persis)Contains(untuk kecocokan substring)
Jika tidak ada nilai yang diberikan, filter tidak akan diterapkan. |
Expanded Details |
Jika dipilih, tindakan ini akan menampilkan informasi mendetail tentang daftar
referensi.
Tidak diaktifkan secara default. |
Max Reference Lists To Return |
Jumlah daftar referensi yang akan ditampilkan.
Nilai defaultnya adalah |
Output tindakan
Tindakan Get Reference List memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Tabel repositori kasus
Di Dinding Kasus, Get Reference Lists menyediakan tabel berikut:
Nama: Daftar Referensi yang Tersedia
Kolom:
- Nama
- Deskripsi
- Jenis
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Get Reference Lists dengan Backstory API:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Get Reference Lists dengan Chronicle API:
[
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_ID",
"displayName": "REFERENCE_LIST_ID",
"revisionCreateTime": "2025-01-09T15:53:10.851775Z",
"description": "Test reference list",
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-09T15:53:10.851775Z"
}
]
Pesan output
Tindakan Get Reference Lists memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action
ACTION_NAME. Reason:
ERROR_REASON
|
Tindakan gagal.
Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action
ACTION_NAME. Reason: "Invalid
value was provided for "Max Reference Lists to Return":
PROVIIDED_VALUE. Positive number should be provided. |
Tindakan gagal.
Periksa nilai untuk parameter |
Skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Dapatkan Daftar Referensi:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Detail Aturan
Gunakan tindakan Get Rule Details untuk mengambil informasi tentang aturan di Google SecOps.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Get Rule Details memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Rule ID |
Wajib. ID aturan untuk mengambil detailnya. |
Output tindakan
Tindakan Get Rule Details memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Get Rule Details dengan Backstory API:
{
"ruleId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f",
"versionId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f@v_1602631093_146879000",
"ruleName": "SampleRule",
"metadata": {
"description": "Sample Description of the Rule",
"author": "author@example.com"
},
"ruleText": "rule SampleRule {
meta:
description = \"Sample Description of the Rule\"
author = \"author@example.com\"
events:
// This will just generate lots of detections
$event.metadata.event_type = \"NETWORK_HTTP\"
condition:
$event
} ",
"liveRuleEnabled": true,
"versionCreateTime": "2020-10-13T23:18:13.146879Z",
"compilationState": "SUCCEEDED"
}
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Get Rule Details dengan Chronicle API:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID",
"revisionId": "v_1733917896_973567000",
"displayName": "Test_rule_SingleEvent",
"text": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"author": "example_user",
"metadata": {
"author": "example_user",
"description": "windowed single event example rule",
"severity": null
},
"createTime": "2024-12-11T11:36:18.192127Z",
"revisionCreateTime": "2024-12-11T11:51:36.973567Z",
"compilationState": "SUCCEEDED",
"type": "SINGLE_EVENT",
"allowedRunFrequencies": [
"LIVE",
"HOURLY",
"DAILY"
],
"etag": "CMj55boGEJjondAD",
"ruleId": "RULE_ID",
"versionId": "RULE_ID@v_1733917896_973567000",
"ruleName": "Test_rule_SingleEvent",
"ruleText": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"ruleType": "SINGLE_EVENT",
"versionCreateTime": "2024-12-11T11:51:36.973567Z"
}
Pesan output
Tindakan Get Rule Details memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully fetched information about the rule with ID
RULE_ID in Google Chronicle.
|
Tindakan berhasil. |
Error executing action "Get Rule Details". Reason:
ERROR_REASON
|
Tindakan gagal.
Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Get Rule Details:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Apakah Nilai Ada Dalam Tabel Data
Gunakan Is Value In Data Table untuk memeriksa apakah nilai yang diberikan ada dalam tabel data di Google SecOps.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Is Value In Data Table memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Data Table Name |
Wajib. Nama tampilan tabel data yang akan dicari. |
Column |
Opsional. Daftar kolom yang dipisahkan koma untuk ditelusuri. Jika tidak ada nilai yang diberikan, tindakan akan menelusuri semua kolom. |
Values |
Wajib. Daftar nilai yang dipisahkan koma untuk ditelusuri. |
Case Insensitive Search |
Opsional. Jika dipilih, penelusuran tidak peka huruf besar/kecil. Diaktifkan secara default. |
Max Data Table Rows To Return |
Wajib. Jumlah baris tabel data yang akan ditampilkan per nilai yang cocok. Nilai maksimum adalah |
Output tindakan
Tindakan Is Value In Data Table memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Apakah Nilai Ada di Tabel Data:
[{
"Entity": "asda",
"EntityResult": {
"is_found": true,
"matched_rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
}]
Pesan output
Tindakan Is Value In Data Table memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully searched provided values in the data table {data table}
in Google SecOps.
|
Tindakan berhasil. |
| Terjadi error saat menjalankan tindakan "Is Value In Data Table". Alasan: ERROR_REASON | Tindakan gagal.
Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action "Is Value In Data Table". Reason: the
following data tables were not found in:
DATA_TABLE_NAME:
COLUMN_NAMES. Please check the
spelling.
|
Tindakan gagal. |
Error executing action "Is Value In Data Table". Reason:
This action is not supported for Backstory API configuration. Please update
the integration configuration.
|
Tindakan gagal. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Nilai Ada di Tabel Data:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Apakah Nilai Ada Dalam Daftar Referensi
Gunakan tindakan Is Value In Reference List untuk memeriksa apakah nilai yang diberikan ditemukan dalam daftar referensi di Google SecOps.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Is Value In Reference List memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Reference List Names |
Wajib. Daftar nama daftar referensi yang dipisahkan koma untuk ditelusuri. |
Values |
Wajib. Daftar nilai yang dipisahkan koma untuk ditelusuri. |
Case Insensitive Search |
Opsional. Jika dipilih, penelusuran tidak peka huruf besar/kecil. |
Output tindakan
Tindakan Apakah Nilai Ada dalam Daftar Referensi memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Is Value In Reference List dengan Backstory API:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Is Value In Reference List dengan Chronicle API:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
Pesan output
Tindakan Is Value In Reference List memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully searched provided values in the reference lists in
Google Chronicle.
|
Tindakan berhasil. |
| Terjadi error saat menjalankan tindakan "Is Value In Reference List". Alasan: ERROR_REASON | Tindakan gagal.
Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action "Is Value In Reference List". Reason: the
following reference lists were not found in Google Chronicle:
MISSING_REFERENCE_LIST_NAME(S).
Please use the action "Get Reference Lists" to see what reference lists are
available.
|
Tindakan gagal. Jalankan tindakan Dapatkan Daftar Referensi untuk memeriksa daftar yang tersedia. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Is Value In Reference List:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Membuat Daftar Aset
Gunakan tindakan List Assets untuk mencantumkan aset di Google SecOps SIEM berdasarkan entitas terkait dalam jangka waktu yang ditentukan.
Tindakan ini hanya mendukung hash MD5, SHA-1, dan SHA-256.
Tindakan ini berjalan di entity Google SecOps berikut:
URLIP AddressHash
Input tindakan
Tindakan List Assets memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Max Hours Backwards |
Jumlah jam sebelum sekarang untuk mengambil aset.
Nilai defaultnya adalah |
Create Insight |
Jika dipilih, tindakan ini akan membuat insight dengan informasi
tentang entity. Diaktifkan secara default. |
Max Assets To Return |
Jumlah aset yang akan ditampilkan. Nilai defaultnya adalah
|
Time Frame |
Opsional. Periode untuk mengambil hasil. Kemungkinan nilainya adalah sebagai berikut:
Jika Nilai defaultnya adalah |
Start Time |
Waktu mulai dalam format ISO 8601. Parameter ini wajib diisi jika
parameter |
End Time |
Waktu berakhir dalam format ISO 8601.
Jika Anda tidak menetapkan nilai dan menetapkan parameter |
Output tindakan
Tindakan List Assets memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Tabel repositori kasus
Nama: ENTITY_IDENTIFIER
Kolom:
- Hostname
- Alamat IP
- Artefak yang Pertama Kali Terlihat
- Artefak Terakhir Terlihat
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan List Assets dengan Backstory API:
{
"assets": [
{
"asset": {
"hostname": "example"
},
"firstSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-02-28T09:18:15.675Z"
},
"lastSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-09-24T06:43:59Z"
}
}
],
"uri": [
"https://INSTANCE/domainResults?domain=www.example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2020-09-27T12%3A07%3A34.166830443Z"
]
}
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan List Assets dengan Chronicle API:
[
{
"Entity": "192.0.2.229",
"EntityResult": {
"assets": [
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Open Source Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2024-09-20T14:14:07.843Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Open Source Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "OPEN_SOURCE_INTEL_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "ex ",
"valueType": "DOMAIN_NAME"
}
},
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Active Breach Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2023-07-05T02:42:52.935Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Active Breach Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "MANDIANT_ACTIVE_BREACH_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "example.com",
"valueType": "DOMAIN_NAME"
}
}
],
"uri": "https://INSTANCE.backstory.chronicle.security/destinationIpResults?ADDRESS=192.0.2.229&selectedList=IpViewDistinctAssets&referenceTime=2025-01-23T11%3A16%3A24.517449Z"
}
}
]
Pesan output
Tindakan List Assets memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully listed related assets for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
Tindakan berhasil. |
Error executing action "List Assets". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan List Assets:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mencantumkan Peristiwa
Gunakan tindakan Buat Daftar Peristiwa untuk mencantumkan peristiwa pada aset tertentu dalam jangka waktu yang ditentukan.
Tindakan ini hanya dapat mengambil 10.000 peristiwa.
Tindakan ini berjalan di entity Google SecOps berikut:
IP addressMAC addressHostname
Input tindakan
Tindakan List Events memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Event Types |
Daftar jenis acara yang dipisahkan koma.
Jika tidak ada nilai yang diberikan, semua jenis peristiwa akan diambil. Untuk mengetahui daftar semua nilai yang mungkin, lihat Nilai yang mungkin untuk jenis peristiwa. |
Time Frame |
Jangka waktu yang ditentukan. Sebaiknya buat sekecil mungkin untuk mendapatkan hasil yang lebih baik.
Jika Jika Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Start Time |
Waktu mulai dalam format ISO 8601. Parameter ini wajib diisi jika parameter |
End Time |
Waktu berakhir dalam format ISO 8601. Jika tidak ada nilai yang diberikan dan parameter Parameter ini menerima nilai |
Reference Time |
Waktu referensi untuk penelusuran acara.
Jika tidak ada nilai yang diberikan, tindakan akan menggunakan waktu berakhir sebagai referensi. |
Output |
Wajib. Format output. Kemungkinan nilainya adalah sebagai berikut:
|
Max Events To Return |
Jumlah peristiwa yang akan diproses untuk setiap jenis entitas. Nilai defaultnya adalah |
Nilai yang mungkin untuk jenis peristiwa
Kemungkinan nilai untuk parameter Event Type adalah sebagai berikut:
EVENTTYPE_UNSPECIFIEDPROCESS_UNCATEGORIZEDPROCESS_LAUNCHPROCESS_INJECTIONPROCESS_PRIVILEGE_ESCALATIONPROCESS_TERMINATIONPROCESS_OPENPROCESS_MODULE_LOADREGISTRY_UNCATEGORIZEDREGISTRY_CREATIONREGISTRY_MODIFICATIONREGISTRY_DELETIONSETTING_UNCATEGORIZEDSETTING_CREATIONSETTING_MODIFICATIONSETTING_DELETIONMUTEX_UNCATEGORIZEDMUTEX_CREATIONFILE_UNCATEGORIZEDFILE_CREATIONFILE_DELETIONFILE_MODIFICATIONFILE_READFILE_COPYFILE_OPENFILE_MOVEFILE_SYNCUSER_UNCATEGORIZEDUSER_LOGINUSER_LOGOUTUSER_CREATIONUSER_CHANGE_PASSWORDUSER_CHANGE_PERMISSIONSUSER_STATSUSER_BADGE_INUSER_DELETIONUSER_RESOURCE_CREATIONUSER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_UPDATE_PERMISSIONSUSER_COMMUNICATIONUSER_RESOURCE_ACCESSUSER_RESOURCE_DELETIONGROUP_UNCATEGORIZEDGROUP_CREATIONGROUP_DELETIONGROUP_MODIFICATIONEMAIL_UNCATEGORIZEDEMAIL_TRANSACTIONEMAIL_URL_CLICKNETWORK_UNCATEGORIZEDNETWORK_FLOWNETWORK_CONNECTIONNETWORK_FTPNETWORK_DHCPNETWORK_DNSNETWORK_HTTPNETWORK_SMTPSTATUS_UNCATEGORIZEDSTATUS_HEARTBEATSTATUS_STARTUPSTATUS_SHUTDOWNSTATUS_UPDATESCAN_UNCATEGORIZEDSCAN_FILESCAN_PROCESS_BEHAVIORSSCAN_PROCESSSCAN_HOSTSCAN_VULN_HOSTSCAN_VULN_NETWORKSCAN_NETWORKSCHEDULED_TASK_UNCATEGORIZEDSCHEDULED_TASK_CREATIONSCHEDULED_TASK_DELETIONSCHEDULED_TASK_ENABLESCHEDULED_TASK_DISABLESCHEDULED_TASK_MODIFICATIONSYSTEM_AUDIT_LOG_UNCATEGORIZEDSYSTEM_AUDIT_LOG_WIPESERVICE_UNSPECIFIEDSERVICE_CREATIONSERVICE_DELETIONSERVICE_STARTSERVICE_STOPSERVICE_MODIFICATIONGENERIC_EVENTRESOURCE_CREATIONRESOURCE_DELETIONRESOURCE_PERMISSIONS_CHANGERESOURCE_READRESOURCE_WRITTENANALYST_UPDATE_VERDICTANALYST_UPDATE_REPUTATIONANALYST_UPDATE_SEVERITY_SCOREANALYST_UPDATE_STATUSANALYST_ADD_COMMENT
Output tindakan
Tindakan List Events memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan List Events:
{
"statistics": {
"NETWORK_CONNECTION": 10
}
{
"events": [
{
"metadata": {
"eventTimestamp": "2020-09-28T14:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
},
{
"metadata": {
"eventTimestamp": "2020-09-28T17:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
}
],
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=user-example-pc&referenceTime=2020-09-28T17%3A00%3A00Z&selectedList=AssetViewTimeline&startTime=2020-09-28T14%3A20%3A00Z&endTime=2020-09-28T20%3A20%3A00Z"
]
}
}
Pesan output
Tindakan List Events memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully listed related events for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
Tindakan berhasil. |
Error executing action "List Events". Reason:
ERROR_REASON
|
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action "List Events". Reason: invalid event type
is provided. Please check the spelling. Supported event types:
SUPPORTED_EVENT_TYPES
|
Tindakan gagal.
Periksa ejaan. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan List Events:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mencantumkan IOC
Gunakan tindakan List IOCs untuk mencantumkan semua IoC yang ditemukan di perusahaan Anda dalam rentang waktu tertentu.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan List IOCs memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Start Time |
Waktu mulai untuk hasil dalam format ISO 8601. |
Max IoCs to Fetch |
Jumlah maksimum IoC yang akan ditampilkan.
Rentangnya adalah Nilai defaultnya adalah |
Output tindakan
Tindakan List IOCs memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Tabel repositori kasus
Kolom:
- Domain
- Kategori
- Sumber
- Keyakinan
- Keparahan
- Waktu Penyerapan IoC
- Waktu Pertama Kali IoC Terlihat
- Waktu Terakhir IoC Terlihat
- URI
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan List IOCs:
{
"matches":[
{
"artifact":{
"domainName":"www.example.com"
},
"firstSeenTime":"2018-05-25T20:47:11.048998Z",
"iocIngestTime":"2019-08-14T21:00:00Z",
"lastSeenTime":"2019-10-24T16:19:46.880830Z",
"sources":[
{
"category":"Spyware Reporting Server",
"confidenceScore":{
"intRawConfidenceScore":0,
"normalizedConfidenceScore":"Low"
},
"rawSeverity":"Medium",
"source":"Example List"
}
],
"uri":["URI"]
}
],
"moreDataAvailable":true
}
Pesan output
Tindakan List IOCs memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully listed IOCs from the provided timeframe in Google
Chronicle. |
Tindakan berhasil. |
Error executing action "List IOCs". Reason:
ERROR_REASON.
|
Tindakan gagal.
Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan List IOCs:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mencari Notifikasi Serupa
Gunakan tindakan Cari Pemberitahuan Serupa untuk menelusuri pemberitahuan serupa di Google SecOps.
Tindakan ini hanya berfungsi dengan pemberitahuan Google SecOps yang diterima dari Chronicle Alerts Connector.
Input tindakan
Tindakan Cari Pemberitahuan Serupa memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Time Frame |
Jangka waktu yang ditentukan untuk hasil. Untuk mendapatkan hasil terbaik, tetapkan jangka waktu sesempit mungkin.
Kemungkinan nilainya adalah sebagai berikut:
|
IOCs / Assets |
Wajib. Daftar IoC atau aset yang dipisahkan koma untuk ditemukan dalam pemberitahuan. Tindakan melakukan penelusuran terpisah untuk setiap item yang diberikan. |
Similarity By |
Atribut yang akan digunakan untuk menemukan pemberitahuan serupa. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Cara kerja parameter Kesamaan Dengan
Parameter Similarity By berlaku berbeda untuk Peringatan aturan dan Peringatan
eksternal.
Jika
Alert Name, Alert Type and ProductatauAlert Name, Alert Typedipilih:Untuk pemberitahuan Eksternal, tindakan ini akan menelusuri pemberitahuan Eksternal lain yang memiliki nama yang sama.
Untuk Notifikasi aturan, tindakan ini memproses notifikasi yang berasal dari aturan yang sama.
Jika
Productdipilih:- Tindakan ini memproses notifikasi yang berasal dari produk yang sama, terlepas dari apakah notifikasi tersebut adalah Notifikasi aturan atau Notifikasi eksternal.
Misalnya, pemberitahuan yang berasal dari Crowdstrike hanya akan dicocokkan dengan pemberitahuan lain dari Crowdstrike.
Jika
Only IOCs/Assetsdipilih:Tindakan ini mencocokkan pemberitahuan berdasarkan IOC yang diberikan dalam parameter
IOCs/Assets. Fitur ini menelusuri indikator ini di Notifikasi aturan dan Notifikasi eksternal.Pemberitahuan IOC hanya dapat menjalankan tindakan ini jika opsi ini dipilih. Jika opsi lain diberikan, tindakan akan ditetapkan secara default ke
Only IOCs/Assets.
Tindakan Cari Pemberitahuan Serupa adalah alat serbaguna untuk menganalisis pemberitahuan. Dengan alat ini, analis dapat mengorelasikan pemberitahuan dari periode waktu yang sama dan mengekstrak IOC yang relevan untuk menentukan apakah suatu insiden adalah positif sebenarnya.
Output tindakan
Tindakan Cari Pemberitahuan Serupa memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Lookup Similar Alerts:
{
"count": 123,
"distinct": [
{
"first_seen": "time of the first alert that matched our conditions",
"last_seen": "time of the last alert that matched our conditions",
"product_name": "product name",
"used_ioc_asset": "what user provided in the parameter IOCs and Assets",
"name": "Alert Name/Rule Name",
"hostnames": "csv list of unique hostnames that were found in alerts",
"urls": "csv list of unique urls that were found in alerts",
"ips": "csv list of unique ips that were found in alerts",
"subjects": "csv list of unique subjects that were found in alerts",
"users": "csv list of unique users that were found in alerts",
"email_addresses": "csv list of unique email_addresses that were found in alerts",
"hashes": "csv list of unique hashes that were found in alerts",
"processes": "csv list of unique processes that were found in alerts"
"rule_urls": ["Chronicle URL from API response for Rule"]
"count": 123
}
],
"processed_alerts": 10000,
"run_time": "how long it took to run the action or at least API request",
"EXTERNAL_url": "Chronicle URL from API response for EXTERNAL"
}
Pesan output
Tindakan Cari Pemberitahuan Serupa memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Lookup Similar Alerts". Reason:
ERROR_REASON
|
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Error executing action "Lookup Similar Alerts". Reason: all of the
retries are exhausted. Please wait for a minute and try again.
|
Tindakan gagal. Tunggu selama satu menit sebelum menjalankan tindakan lagi. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Lookup Similar Alerts:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Tabel repositori kasus
Nama tabel: IOC/ASSET_IDENTIFIER
Kolom tabel:
- Produk
- Nama host
- IP
- Pengguna
- Alamat Email
- Subjek
- URL
- Hash
- Proses
- Pertama Terlihat
- Terakhir Terlihat
- Nama Pemberitahuan
- Umum
Link repositori kasus
Tindakan Cari Pemberitahuan Serupa dapat menampilkan link berikut:
- CBN: GENERATED_LINK_BASED_ON_IU_ROOT_URL
- Aturan: GENERATED_LINK_BASED_ON_IU_ROOT_URL
Ping
Gunakan tindakan Ping untuk menguji konektivitas ke Google SecOps.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tidak ada.
Output tindakan
Tindakan Ping memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Ping memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully connected to the Google Chronicle backstory with the
provided connection parameters! |
Tindakan berhasil. |
Failed to connect to the Google Chronicle backstory. Error is
ERROR_REASON
|
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Ping:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menghapus Baris dari Tabel Data
Gunakan tindakan Hapus Baris dari Tabel Data untuk menghapus baris dari tabel data di Google SecOps.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Hapus Baris dari Tabel Data memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Data Table Name |
Wajib. Nama tampilan tabel data yang akan diperbarui. |
Rows |
Wajib. Daftar objek JSON yang digunakan untuk menelusuri dan menghapus baris. Hanya kolom yang valid yang harus disertakan. Nilai defaultnya adalah: |
Output tindakan
Tindakan Hapus Baris Dari Tabel Data memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Hapus Baris dari Tabel Data:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
Pesan output
Tindakan Hapus Baris Dari Tabel Data memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully removed rows from the data table
DATA_TABLE_NAME in
Google SecOps.
|
Tindakan berhasil. |
Error executing action "Remove Rows From Data Table". Reason:
ERROR_REASON
|
Tindakan gagal.
Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Hapus Baris dari Tabel Data:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menghapus Nilai Dari Daftar Referensi
Gunakan tindakan Hapus Nilai dari Daftar Referensi untuk menghapus nilai dari daftar referensi di Google SecOps.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Hapus Nilai dari Daftar Referensi memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Reference List Name |
Wajib. Nama daftar referensi yang akan diupdate. |
Values |
Wajib. Daftar nilai yang dipisahkan koma untuk dihapus dari daftar referensi. |
Output tindakan
Tindakan Hapus Nilai dari Daftar Referensi memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Hapus Nilai dari Daftar Referensi dengan Backstory API:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Hapus Nilai dari Daftar Referensi dengan Chronicle API:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/<var class="readonly">REFERENCE_LIST_NAME</var>' }}",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Pesan output
Tindakan Hapus Nilai dari Daftar Referensi memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Successfully removed values from the reference list.
|
Tindakan berhasil. |
Error executing action "Remove Values From Reference List". Reason:
ERROR_REASON
|
Tindakan gagal.
Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Hapus Nilai dari Daftar Referensi:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Konektor
Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).
Google Chronicle - Chronicle Alerts Connector
Gunakan Google Chronicle - Chronicle Alerts Connector untuk menarik informasi tentang pemberitahuan berbasis aturan dari Google SecOps SIEM.
Konektor ini dapat difilter menggunakan daftar dinamis.
Ringkasan
Google Chronicle - Chronicle Alerts Connector menyerap beberapa jenis pemberitahuan dari Google SecOps SIEM.
Fitur utama dan detail operasional meliputi:
Kueri ini membuat kueri data dalam periode satu minggu.
Untuk mencegah pemberitahuan terlewat karena penundaan pengindeksan, periode pengoptimalan dan waktu tunggu konektor yang lebih lama dapat dikonfigurasi, meskipun pengoptimalan yang signifikan dapat memengaruhi performa secara negatif.
Konektor ini menggunakan daftar dinamis untuk konfigurasi yang fleksibel.
Properti ini memberikan
Fallback Severityuntuk pemberitahuan yang tidak memiliki nilai tingkat keparahan.Untuk menyerap IoC, aturan deteksi yang sesuai harus dibuat di Google SecOps SIEM yang menghasilkan pemberitahuan berdasarkan IoC.
Filter daftar dinamis
Daftar dinamis digunakan untuk memfilter pemberitahuan langsung dari halaman konfigurasi konektor.
Logika operator
Daftar dinamis menggunakan kombinasi logika AND dan OR untuk memproses aturan filter:
Logika OR: Nilai pada baris yang sama, yang dipisahkan dengan koma, diperlakukan dengan logika OR (seperti,
Rule.severity = low,mediumberarti tingkat keparahanlowATAUmedium).Logika AND: Setiap baris terpisah dalam daftar dinamis diperlakukan dengan logika AND (seperti, baris untuk
Rule.severitydan baris untukRule.ruleNameberartiseverityANDruleName).Operator yang didukung (
=,!=,>,<,>=,<=) bervariasi bergantung pada Kunci Filter.
Berikut adalah contoh penggunaan aturan operator:
- Rule.severity = medium: Konektor hanya menyerap notifikasi aturan dengan tingkat keseriusan sedang.
- Rule.severity = low,medium: Konektor hanya menyerap pemberitahuan aturan dengan tingkat keseriusan sedang atau rendah.
- Rule.ruleName = default_rule: Konektor hanya menyerap pemberitahuan aturan
dengan nama
default_rule.
Filter yang didukung
Chronicle Alerts Connector mendukung pemfilteran pada kunci berikut:
| Kunci filter | Kunci respons | Operator | Nilai yang memungkinkan |
|---|---|---|---|
Rule.severity |
detection atau ruleLabels atau severity |
=, !=, >, <,
>=, <= |
Nilai ini tidak peka huruf besar/kecil. |
Rule.ruleName |
detection atau ruleName |
=, != |
Ditentukan oleh pengguna. |
Rule.ruleID |
detection atau ruleId |
=, != |
Ditentukan oleh pengguna. |
Rule.ruleLabels.{key} |
detection atau ruleLabels |
=, != |
Ditentukan oleh pengguna. |
Menangani ruleLabels
Untuk memfilter label tertentu dalam aturan, gunakan format Rule.ruleLabels.{key}.
Misalnya, untuk memfilter label dengan kunci type dan nilai
suspicious_behaviour, input daftar dinamis harus berupa:
Rule.ruleLabels.type=suspicious_behaviour
Input konektor
Chronicle Alerts Connector memerlukan parameter berikut:
Nilai defaultnya adalah Medium.
| Parameter | Deskripsi |
|---|---|
Product Field Name |
Wajib. Nama kolom tempat nama produk disimpan. Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default. Nilai defaultnya adalah |
Event Field Name |
Wajib. Nama kolom yang menentukan nama peristiwa (subjenis). |
Environment Field Name |
Opsional. Nama kolom tempat nama lingkungan disimpan. Jika kolom environment tidak ada, konektor akan menggunakan nilai default. Nilai defaultnya adalah |
Environment Regex Pattern |
Opsional. Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
Script Timeout (Seconds) |
Wajib. Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah |
API Root |
Wajib. Root API instance SIEM Google SecOps. Google SecOps menyediakan endpoint regional untuk setiap API, misalnya, Hubungi Cloud Customer Care untuk mengetahui endpoint mana yang harus digunakan. Nilai defaultnya adalah |
User's Service Account |
Wajib. Konten JSON lengkap akun layanan yang digunakan untuk autentikasi. |
Fallback Severity |
Wajib. Tingkat keparahan default yang akan digunakan jika pemberitahuan dari SIEM Google SecOps tidak menyertakan nilai tingkat keparahan. Nilai yang mungkin adalah sebagai berikut:
|
Max Hours Backwards |
Opsional. Jumlah jam sebelum menjalankan konektor awal untuk mengambil insiden dari. Parameter ini hanya berlaku satu kali. Nilai maksimumnya adalah Nilai defaultnya adalah |
Max Alerts To Fetch |
Opsional. Jumlah pemberitahuan yang akan diproses dalam setiap iterasi konektor. Nilai defaultnya adalah |
Disable Event Splitting |
Opsional. Jika dipilih, konektor tidak membagi peristiwa asli menjadi beberapa bagian, sehingga memastikan jumlah peristiwa cocok antara sumber dan Google SecOps SOAR. Tidak diaktifkan secara default. |
Verify SSL |
Wajib. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server SIEM SecOps Google. Diaktifkan secara default. |
Proxy Server Address |
Opsional. Alamat server proxy yang akan digunakan. |
Proxy Username |
Opsional. Nama pengguna proxy untuk melakukan autentikasi. |
Proxy Password |
Opsional. Sandi proxy untuk mengautentikasi. |
Disable Overflow |
Opsional. Jika dipilih, konektor akan mengabaikan mekanisme peluapan Google SecOps. Tidak diaktifkan secara default. |
Aturan konektor
Google Chronicle - Chronicle Alerts Connector mendukung proxy.
Peristiwa konektor
Google Chronicle - Chronicle Alerts Connector memproses tiga jenis peristiwa dari Google SecOps SIEM.
Pemberitahuan berbasis aturan
Jenis peristiwa ini dibuat oleh aturan deteksi di SIEM Google SecOps.
{
"alert_type": "RULE",
"event_type": "NETWORK_DHCP",
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "d3_test",
"urlBackToProduct": "https://INSTANCE/ruleDetections?ruleId=ru_74dd17e2-5aad-4053-acd7-958bead014f2&selectedList=RuleDetectionsViewTimeline&selectedParentDetectionId=de_b5dadaf4-b398-325f-9f09-833b71b3ffbb&selectedTimestamp=2022-02-08T05:02:36Z&versionTimestamp=2020-11-19T18:19:11.951951Z",
"ruleId": "ru_74dd17e2-5aad-4053-acd7-958bead014f2",
"ruleVersion": "ru_74dd17e2-5aad-4053-acd7-958bead014f2@v_1605809951_951951000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT",
"ruleLabels": [
{
"key": "author",
"value": "analyst123"
},
{
"key": "description",
"value": "8:00 AM local time"
},
{
"key": "severity",
"value": "Medium"
}
]
}
],
"createdTime": "2022-02-08T06:07:33.944951Z",
"id": "de_b5dadaf4-b398-325f-9f09-833b71b3ffbb",
"timeWindow": {
"startTime": "2022-02-08T05:02:36Z",
"endTime": "2022-02-08T05:02:36Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2022-02-08T05:02:36Z",
"eventType": "NETWORK_DHCP",
"productName": "Infoblox DHCP",
"ingestedTimestamp": "2022-02-08T05:03:03.892234Z"
},
"principal": {
"ip": [
"198.51.100.255",
"198.51.100.1"
],
"mac": [
"01:23:45:ab:cd:ef"
],
"email_address": [
"example@example.com"
]
},
"target": {
"hostname": "dhcp_server",
"ip": [
"198.51.100.0",
"198.51.100.1"
]
},
"network": {
"applicationProtocol": "DHCP",
"dhcp": {
"opcode": "BOOTREQUEST",
"ciaddr": "198.51.100.255",
"giaddr": "198.51.100.0",
"chaddr": "01:23:45:ab:cd:ef",
"type": "REQUEST",
"clientHostname": "example-user-pc",
"clientIdentifier": "AFm/LDfjAw=="
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2022-02-08T05:02:36Z"
}
Peringatan eksternal
Jenis peristiwa ini didasarkan pada pemberitahuan eksternal yang dimasukkan ke dalam SIEM Google SecOps.
{
"alert_type": "External",
"event_type": "GENERIC_EVENT",
"name": "Authentication failure [32038]",
"sourceProduct": "Internal Alert",
"severity": "Medium",
"timestamp": "2020-09-30T18:03:34.898194Z",
"rawLog": "U2VwIDMwIDE4OjAzOjM0Ljg5ODE5NCAxMC4wLjI5LjEwOSBBdXRoZW50aWNhdGlvbiBmYWlsdXJlIFszMjAzOF0=",
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=198.51.100.109&namespace=[untagged]&referenceTime=2020-09-30T18%3A03%3A34.898194Z&selectedList=AssetViewTimeline&startTime=2020-09-30T17%3A58%3A34.898194Z&endTime=2020-09-30T18%3A08%3A34.898194Z&selectedAlert=-610875602&selectedEventTimestamp=2020-09-30T18%3A03%3A34.898194Z"
],
"event": {
"metadata": {
"eventTimestamp": "2020-09-30T18:03:34.898194Z",
"eventType": "GENERIC_EVENT",
"productName": "Chronicle Internal",
"ingestedTimestamp": "2020-09-30T18:03:34.991592Z"
},
"target": [
{
"ip": [
"198.51.100.255",
"198.51.100.1"
]
}
],
"securityResult": [
{
"summary": "Authentication failure [32038]",
"severityDetails": "Medium"
}
]
}
}
Pemberitahuan IoC
Jenis peristiwa ini adalah kecocokan dengan daftar IoC yang telah ditentukan sebelumnya.
{
"alert_type": "IOC",
"event_type": "IOC Alert",
"artifact": {
"domainName": "example.com"
},
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2020-09-07T11:00:00Z",
"firstSeenTime": "2018-10-03T00:01:59Z",
"lastSeenTime": "2022-02-04T20:02:29.191Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-08T15%3A08%3A52.434022777Z"
]
}
Struktur pemberitahuan
Tabel berikut menjelaskan cara Google Chronicle - Chronicle Alerts Connector mengisi atribut pemberitahuan di Google SecOps. Atribut pemberitahuan dikelompokkan berdasarkan asal dan jenis pemberitahuannya agar lebih jelas.
Atribut yang dihasilkan secara internal
Atribut ini dibuat oleh framework dan konsisten di semua jenis pemberitahuan.
| Nama Atribut Pemberitahuan | Sumber |
|---|---|
SourceSystemName |
Dibuat secara internal oleh framework. |
TicketId |
Nilai diambil dari file ids.json. |
DisplayId |
Dibuat secara otomatis. |
Atribut untuk semua jenis pemberitahuan
Atribut ini berasal dari pemberitahuan sumber, tetapi kunci sumbernya bervariasi menurut jenis pemberitahuan.
| Nama Atribut Pemberitahuan | Sumber |
|---|---|
Priority |
Diambil dari respons API atau parameter Fallback Severity. |
DeviceVendor |
Nilai yang dikodekan secara permanen adalah Google Chronicle. |
DeviceProduct |
Nilai hardcode yang bergantung pada jenis pemberitahuan: RULE untuk pemberitahuan deteksi aturan, IOC untuk kecocokan IOC, atau EXTERNAL untuk pemberitahuan eksternal. |
Description |
Untuk notifikasi berbasis aturan, nilai ini berasal dari
detection/ruleLabels/description (jika ada). Tidak tersedia untuk
jenis pemberitahuan lainnya. |
Reason |
Tidak tersedia. |
SourceGroupingIdentifier |
Tidak tersedia. |
Chronicle Alert - Attachments |
Tidak tersedia. |
Jenis notifikasi tertentu
Atribut ini khusus untuk asal notifikasi, sehingga lebih mudah memahami cara pengisian setiap atribut.
| Nama Atribut Pemberitahuan | Peringatan Berbasis Aturan | Pemberitahuan berbasis IOC | Peringatan Eksternal |
|---|---|---|---|
Name |
detection/ruleName |
IOC Alert (hardcode) |
alertInfos/name |
RuleGenerator |
detection/ruleName |
IOC Alert (hardcode) |
alertInfos/name |
StartTime & EndTime |
timeWindow atau startTime |
lastSeenTime |
timestamp |
Chronicle Alert - Extensions |
rule_id (ruleId), product_name (CSV
peristiwa atau metadata atau nilai productName) |
Tidak berlaku | alert_name (name), product_name (CSV
peristiwa atau metadata UDM atau nilai productName) |
Tidak digunakan lagi: Google Chronicle - Alerts Connector
Konektor ini menarik pemberitahuan aset dari SIEM Google SecOps dan mengonversinya menjadi pemberitahuan SIEM Google SecOps.
Anda dapat melakukan autentikasi menggunakan
library Google dengan
google.oauth2.service_account dan AuthorizedSession.
Konektor ini memerlukan SIEM Search API Google SecOps.
Input konektor
| Parameter | Deskripsi |
|---|---|
Product Field Name |
Wajib.
Nama kolom tempat nama produk disimpan. Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default. Nilai defaultnya adalah |
Environment Field Name |
Opsional. Nama kolom tempat nama lingkungan disimpan. Jika kolom environment tidak ada, konektor akan menggunakan nilai default. Nilai defaultnya adalah |
Environment Regex Pattern |
Opsional. Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
Script Timeout (Seconds) |
Wajib. Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah |
Service Account Credentials |
Wajib. Konten file JSON akun layanan. |
Fetch Max Hours Backwards |
Opsional. Jumlah jam sebelum menjalankan konektor awal untuk mengambil insiden dari. Parameter ini hanya berlaku satu kali. Nilai maksimumnya adalah Nilai defaultnya adalah |
Tidak digunakan lagi: Google Chronicle - IoCs Connector
Sebagai gantinya, gunakan Chronicle Alerts Connector.
Konektor ini menarik kecocokan domain IOC dari SIEM Google SecOps dan mengonversinya menjadi pemberitahuan SIEM Google SecOps.
Anda dapat melakukan autentikasi menggunakan
library Google dengan
google.oauth2.service_account dan AuthorizedSession.
Konektor ini menggunakan Google SecOps SIEM Search API.
Input konektor
Konektor Google Chronicle - IoCs memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Product Field Name |
Wajib.
Nama kolom tempat nama produk disimpan. Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default. Nilai defaultnya adalah |
Environment Field Name |
Opsional. Nama kolom tempat nama lingkungan disimpan. Jika kolom environment tidak ada, konektor akan menggunakan nilai default. Nilai defaultnya adalah |
Environment Regex Pattern |
Opsional. Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
Script Timeout (Seconds) |
Wajib. Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah |
Service Account Credentials |
Wajib. Konten file JSON akun layanan. |
Fetch Max Hours Backwards |
Opsional. Jumlah jam sebelum menjalankan konektor awal untuk mengambil pemberitahuan. Parameter ini hanya berlaku satu kali. Nilai maksimumnya adalah Nilai defaultnya adalah |
Max Alerts To Fetch |
Opsional. Jumlah maksimum pemberitahuan yang akan diproses di setiap iterasi konektor. Nilai defaultnya adalah |
| Kolom yang dilacak | Kolom yang disinkronkan |
|---|---|
Priority |
Priority |
Status |
Status |
Title |
Title |
| Tidak berlaku | Stage |
| Tidak berlaku | Google SecOps Case ID |
| Tidak berlaku | Google SecOps Case ID |
ID Kasus Google SecOps adalah ID kasus unik di Google SecOps SOAR dan Google SecOps SIEM.
Tugas Google Chronicle Sync Data melacak dan menyinkronkan kolom berikut untuk pemberitahuan:
| Kolom yang dilacak | Kolom yang disinkronkan |
|---|---|
Priority |
Priority |
Status |
Status |
Case ID |
Tidak berlaku |
| Tidak berlaku | Google SecOps Alert ID |
| Tidak berlaku | Google SecOps Case ID |
| Tidak berlaku | Verdict |
| Tidak berlaku | Closure Comment |
| Tidak berlaku | Closure Reason |
| Tidak berlaku | Closure Root Cause |
| Tidak berlaku | Usefulness |
ID Pemberitahuan Google SecOps adalah ID pemberitahuan unik di Google SecOps SOAR.
Dalam satu iterasi, tugas menyinkronkan hingga 1.000 kasus dan 1.000 pemberitahuan. Sinkronisasi terjadi dalam lingkungan Google SecOps SOAR yang ditentukan dalam konfigurasi tugas. Mekanisme sinkronisasi memastikan bahwa kasus dari lingkungan yang ditentukan tidak dapat disinkronkan dengan lingkungan lain.
Mengonfigurasi tugas Data Sinkronisasi Google Chronicle
Pekerjaan ini hanya menyinkronkan kasus SOAR Google SecOps yang di-ingest dari SIEM Google SecOps.
Pastikan Anda telah menyelesaikan langkah-langkah prasyarat sebelum mengonfigurasi tugas.
Untuk mengonfigurasi tugas Google Chronicle Sync Data, ikuti langkah-langkah berikut:
Di bagian Parameter, konfigurasikan parameter berikut:
Parameter Deskripsi EnvironmentWajib.
Nama lingkungan yang dibuat di Google SecOps SOAR tempat Anda ingin menyinkronkan kasus dan pemberitahuan.
API RootWajib.
Root API instance SIEM Google SecOps.
Google SecOps menyediakan endpoint regional untuk setiap API.
Misalnya,
https://europe-backstory.googleapis.comatauhttps://asia-southeast1-backstory.googleapis.com.Jika Anda tidak tahu endpoint mana yang harus digunakan, [hubungi Cloud Customer Care](/chronicle/docs/getting-support).
Nilai defaultnya adalah
https://backstory.googleapis.com.User's Service AccountWajib.
Konten file JSON akun layanan instance Google SecOps SIEM Anda.
Max Hours BackwardsOpsional.
Jumlah jam untuk mengambil pemberitahuan. Gunakan hanya bilangan positif. Jika Anda memasukkan 0 atau angka negatif, error akan dilaporkan. Jika parameter ini kosong, tugas akan menggunakan nilai default.
Nilai defaultnya adalah
24.Verify SSLWajib.
Jika dipilih, Google SecOps akan memverifikasi bahwa sertifikat SSL untuk terhubung ke server SIEM Google SecOps valid. Sebaiknya Anda memilih opsi ini.
Dipilih secara default.
Job Google Chronicle Sync Data diaktifkan secara default. Saat Anda menyimpan tugas yang dikonfigurasi dengan benar, tugas tersebut akan segera menyinkronkan data dengan Google SecOps SIEM. Untuk menonaktifkan tugas, alihkan tombol di samping nama tugas.
Untuk menyelesaikan konfigurasi, klik Save.
Jika tombol Simpan tidak aktif, pastikan Anda telah menetapkan semua parameter wajib.
Opsional: Untuk menjalankan tugas segera setelah menyimpan, klik Jalankan Sekarang.
Opsi Jalankan Sekarang memungkinkan Anda memicu satu kali eksekusi tugas yang menyinkronkan data kasus dan pemberitahuan SOAR Google SecOps saat ini dengan Google SecOps SIEM.
Pesan log
Tabel berikut mencantumkan kemungkinan pesan log untuk tugas Google Chronicle Data Sync:
| Entri log | Jenis | Deskripsi |
|---|---|---|
Unable to parse credentials as JSON. Please validate creds.
|
Error | Akun layanan yang diberikan dalam parameter User's Service Account
rusak. |
"Max Hours Backwards" parameter must be a positive number. |
Error | Parameter Max Hours backwards disetel ke 0 atau angka negatif. |
Current platform version does not support SDK methods designed for
Google SecOps. Please use version 6.1.33 or higher. |
Error | Versi instance platform Google SecOps saat ini tidak mendukung eksekusi skrip tugas Data Sinkronisasi Chronicle. Artinya, versi build instance lebih lama dari 6.1.33. |
Unable to connect to Google SecOps, please validate
your credentials: CREDENTIALS |
Error | Nilai akun layanan atau root API tidak dapat divalidasi terhadap instance Google SecOps SIEM. Error ini dilaporkan jika pengujian konektivitas gagal. |
--- Start Processing Updated Cases --- |
Info | Loop pemrosesan kasus telah mulai berjalan. |
Last success time. Date time:DATE_AND_TIME.
Unix:UNIX_EPOCH_TIME
|
Info | Stempel waktu eksekusi skrip terakhir yang berhasil untuk kasus atau notifikasi:
|
Key: "DATABASE_KEY" does not exist in the
database. Returning default
value instead: DEFAULT_VALUE |
Info | Kunci database kasus atau notifikasi yang tertunda tidak ada dalam database. Entri log ini selalu muncul dalam eksekusi pertama skrip. |
Failed to parse data as JSON. Returning default value instead:
"DEFAULT_VALUE. ERROR:
ERROR |
Error | Nilai yang diambil dari database bukan format JSON yang valid. |
Exception was raised from the database. ERROR:
ERROR. |
Error | Ada masalah koneksi dengan database. |
|
Info | ID kasus atau pemberitahuan yang tertunda telah berhasil diambil dari backlog. CASE_IDS adalah jumlah ID kasus yang diajukan. |
|
Error | Jumlah ID kasus atau pemberitahuan tertunda yang diambil dari database lebih besar dari batas (1000). ID apa pun yang melebihi batas akan diabaikan. Error ini dapat menunjukkan kemungkinan kerusakan database. |
|
Info | ID kasus atau pemberitahuan yang baru diperbarui berhasil diambil dari platform tersebut. |
|
Info | Pembaruan kasus dan pemberitahuan di instance Google SecOps SIEM telah dimulai. |
|
Error | Kasus atau pemberitahuan yang ditentukan tidak dapat disinkronkan dengan SIEM Google SecOps. |
|
Info | Kasus atau pemberitahuan tertunda yang ditentukan telah mencapai batas percobaan ulang sinkronisasi (5) dan tidak dimasukkan kembali ke backlog. |
|
Info | Daftar ID kasus atau pemberitahuan yang tidak dapat disinkronkan dengan SIEM Google SecOps. |
Updated External Case IDs for the following cases:
CASE_IDS |
Info | Daftar kasus yang tugasnya memperbarui ID kasus eksternal SIEM Google SecOps yang cocok di platform SOAR Google SecOps. |
Failed to update external ids. |
Error | Entri log yang menunjukkan bahwa ada masalah dengan metode atau koneksi SDK yang mencegah pembaruan ID kasus eksternal di platform. |
|
Error | Entri log yang menunjukkan bahwa ada error penghentian tertentu yang mencegah kasus atau loop pemrosesan pemberitahuan selesai secara alami. Stacktrace dicetak setelah log ini dengan error tertentu. |
|
Info | Loop pemrosesan kasus dan pemberitahuan telah selesai, baik secara alami maupun dengan error. |
|
Error | Daftar ID kasus atau pemberitahuan yang gagal dan memiliki jumlah percobaan ulang kurang dari atau sama dengan 5 untuk ditulis kembali ke backlog. |
|
Info | Tahap pemrosesan kasus dan pemberitahuan telah selesai. |
Saving timestamps. |
Info | Menyimpan stempel waktu update kasus dan pemberitahuan terakhir yang berhasil ke database. |
Saving pending ids. |
Info | Menyimpan ID kasus dan pemberitahuan yang tertunda ke database. |
Got exception on main handler. Error:
ERROR_REASON |
Error | Terjadi error penghentian umum. Stacktrace dicetak setelah log ini dengan error tertentu. |
Pekerjaan Pembuat Notifikasi Google Chronicle
Job Google Chronicle Alerts Creator memerlukan platform Google SecOps versi 6.2.30 atau yang lebih baru.
Pekerjaan ini membuat semua pemberitahuan dari Google SecOps SOAR ke Google SecOps SIEM, termasuk pemberitahuan overflow. Tugas Google Chronicle Alerts Creator tidak mereplikasi pemberitahuan yang berasal dari Google SecOps.
Pekerjaan Google Chronicle Alerts Creator mengkueri platform SOAR menggunakan Python SDK untuk pemberitahuan yang tidak disinkronkan. Tugas mengirimkan pemberitahuan yang tidak disinkronkan ke SIEM satu per satu. SIEM memperbarui dan menampilkan ID pemberitahuan SIEM yang sesuai, dan SOAR menyimpan ID menggunakan SOAR platform API melalui Python SDK.
Hubungan antara tugas Google Chronicle
Sistem Google SecOps yang lengkap menjalankan tiga komponen berikut secara bersamaan:
- Chronicle Alerts Connector
- Tugas Google Chronicle Sync Data
- Tugas Google Chronicle Alerts Creator
Job Google Chronicle Sync Data membuat dan menyinkronkan kasus. Fitur ini juga menyinkronkan modifikasi kasus dan pemberitahuan, seperti perubahan prioritas.
Job Google Chronicle Alerts Creator membuat semua pemberitahuan, kecuali pemberitahuan SIEM. Tugas Google Chronicle Sync Data mengirimkan update tentang pemberitahuan yang belum disinkronkan setelah tugas Google Chronicle Alerts Creator membuat pemberitahuan.
Sinkronisasi data kasus dan pemberitahuan
Kasus disinkronkan dengan cara yang sama seperti Google Chronicle Sync Data job.
Di Google SecOps SIEM, setiap pemberitahuan diidentifikasi dengan ID pemberitahuan SIEM. Notifikasi SOAR dapat menggunakan ID SIEM dalam dua skenario:
Pemberitahuan dibuat di SIEM.
Peringatan ini sudah ada di SIEM Google SecOps dan tidak perlu diduplikasi. Konektor mengisi kolom
siem_alert_id.Peringatan dibuat di konektor pihak ketiga.
Peringatan ini tidak ada di SIEM Google SecOps dan memerlukan operasi sinkronisasi eksplisit yang menjadi tanggung jawab tugas Pembuat Peringatan Google Chronicle. Setelah menyelesaikan operasi sinkronisasi, pemberitahuan akan mendapatkan ID SIEM baru.
Mengonfigurasi tugas Google Chronicle Alerts Creator
Pastikan Anda telah menyelesaikan langkah-langkah prasyarat sebelum mengonfigurasi tugas.
Untuk mengonfigurasi tugas Google Chronicle Alerts Creator, ikuti langkah-langkah berikut:
Konfigurasi parameter tugas dari tabel berikut:
Parameter Deskripsi EnvironmentWajib.
Nama lingkungan yang dibuat di Google SecOps SOAR tempat Anda ingin menyinkronkan kasus dan pemberitahuan.
API RootWajib.
Root API instance SIEM Google SecOps.
Google SecOps menyediakan endpoint regional untuk setiap API.
Misalnya,
https://europe-backstory.googleapis.comatauhttps://asia-southeast1-backstory.googleapis.com.Jika Anda tidak tahu endpoint mana yang harus digunakan, [hubungi Cloud Customer Care](/chronicle/docs/getting-support).
Nilai defaultnya adalah
https://backstory.googleapis.com.User's Service AccountWajib.
Konten file JSON akun layanan instance Google SecOps SIEM Anda.
Verify SSLWajib.
Jika dipilih, Google SecOps akan memverifikasi bahwa sertifikat SSL untuk terhubung ke server SIEM Google SecOps valid. Sebaiknya Anda memilih opsi ini.
Dipilih secara default.
Untuk menyelesaikan konfigurasi, klik Save.
Jika tombol Simpan tidak aktif, pastikan Anda telah menetapkan semua parameter wajib.
Opsional: Untuk menjalankan tugas segera setelah menyimpan, klik Jalankan Sekarang.
Opsi Jalankan Sekarang memungkinkan Anda memicu satu kali eksekusi tugas yang menyinkronkan data kasus dan pemberitahuan SOAR Google SecOps saat ini dengan Google SecOps SIEM.
Pesan log dan penanganan error
| Log | Tingkat | Deskripsi |
|---|---|---|
|
ERROR | Akun layanan yang diberikan dalam parameter Akun Layanan Pengguna rusak. |
|
ERROR | Versi instance platform Google SecOps saat ini tidak mendukung eksekusi skrip Google Chronicle Alerts Creator Job. Error ini berarti versi build instance lebih lama dari 6.2.30. |
|
ERROR | Nilai akun layanan atau root API tidak dapat divalidasi terhadap instance Google SecOps SIEM. Error ini dilaporkan jika pengujian konektivitas gagal. |
|
INFO | Pesan log yang menunjukkan bahwa tugas telah dimulai. |
|
INFO | Pesan log yang menunjukkan bahwa fungsi utama telah dimulai. |
|
INFO | Pesan log yang menunjukkan nomor iterasi untuk upaya beruntun saat ini. |
|
INFO | Pesan log yang menunjukkan bahwa kode tidak mengambil lebih dari BATCH_SIZE pemberitahuan baru dari SOAR. |
|
INFO | Pesan log yang menunjukkan bahwa pemberitahuan SOAR NUMBER_OF_NEW_ALERTS telah diambil. |
|
INFO | Pesan log yang menunjukkan bahwa tidak ada pemberitahuan SOAR baru yang ditemukan, dan bahwa tugas sedang berhenti. |
|
INFO | Pesan log yang menunjukkan bahwa tugas telah mengambil pemberitahuan SOAR dengan ID berikut dalam daftar ID. Anda dapat menggunakan informasi ini untuk melacak progres tugas dan memecahkan masalah pada kode. |
|
INFO | Pesan log yang menunjukkan bahwa tugas mengirimkan pemberitahuan SOAR ke SIEM. |
|
ERROR | Pesan log yang menunjukkan bahwa pemberitahuan tidak berhasil dibuat di SIEM karena error. |
|
INFO | Pesan log yang menunjukkan bahwa tugas sedang memperbarui SOAR dengan respons SIEM. |
|
PERINGATAN | Menunjukkan bahwa SOAR tidak dapat memperbarui status sinkronisasi notifikasi. |
|
INFO | Pesan log yang menunjukkan bahwa total total_synced pemberitahuan disinkronkan dalam proses saat ini. |
|
INFO | Pesan log yang menunjukkan bahwa tugas telah selesai. |
|
ERROR | Pesan log yang menunjukkan bahwa pengecualian terjadi dalam fungsi utama. Pesan pengecualian disertakan dalam pesan log. |
Kasus penggunaan
Integrasi Google Chronicle memungkinkan Anda menjalankan kasus penggunaan berikut:
- Chronicle Windows Threats Investigation and Response
- Security Command Center dan Chronicle Cloud DIR
Menginstal kasus penggunaan
Di Google SecOps Marketplace, buka tab Use Cases.
Di kolom penelusuran, masukkan nama kasus penggunaan.
Klik kasus penggunaan.
Ikuti langkah-langkah dan petunjuk konfigurasi di wizard penginstalan.
Setelah selesai, semua komponen yang diperlukan akan diinstal di mesin Google SecOps Anda. Untuk menyelesaikan penginstalan, konfigurasi blok Initialization dalam playbook yang sesuai dengan kasus penggunaan Anda.
Investigasi & Respons Ancaman Windows Chronicle
Gunakan kecanggihan Google SecOps untuk merespons ancaman Windows secara real time di lingkungan Anda. Dengan menggunakan Threat Intelligence untuk Google SecOps, tim keamanan dapat memanfaatkan layanan kecerdasan ancaman dengan fidelitas tinggi bersama dengan Google SecOps. Ancaman nyata di lingkungan Anda kini dapat ditriase dan diperbaiki secara otomatis dalam jangka waktu yang singkat dan efektif.
Di Google SecOps, buka Respons > Playbook.
Pilih playbook Google Chronicle - Windows Threats Investigation & Response. Playbook akan terbuka dalam tampilan desainer playbook.
Klik dua kali Set Initialization Block_1. Dialog konfigurasi blok akan terbuka.
Untuk mengonfigurasi playbook, gunakan parameter berikut:
Parameter input Nilai yang memungkinkan Deskripsi edr_product- Crowdstrike
- Carbon Black
- Tidak ada
Produk EDR yang akan digunakan dalam playbook. itsm_product- Layanan Sekarang
- Jira
- ZenDesk
- Tidak ada
Produk ITSM yang akan digunakan dalam playbook. Jira memerlukan konfigurasi tambahan di blok Open Ticket. crowdstrike_use_spotlightTrueatauFalseJika True, playbook akan menjalankan tindakan Crowdstrike yang memerlukan lisensi Spotlight (Informasi kerentanan).use_mandiantTrueatauFalseJika True, playbook akan mengeksekusi blok Mandiant.slack_userNama Pengguna atau Alamat Email Nama pengguna atau alamat email pengguna Slack. Jika tidak ada yang diberikan, playbook akan melewati blok Slack. Klik Simpan. Dialog konfigurasi blok akan ditutup.
Di panel desainer playbook, klik Simpan.
Untuk menguji playbook dalam kasus penggunaan, masukkan kasus pengujian yang disertakan dalam paket. Beberapa kemampuan kasus pengujian dapat gagal karena data yang digunakan untuk pengujian tidak tersedia di lingkungan Anda.
Security Command Center dan Chronicle Cloud DIR
Integrasikan Security Command Center dengan SIEM Google SecOps agar analis Anda dapat menyelidiki insiden dan ancaman yang dideteksi oleh Security Command Center.
Mengonfigurasi kasus penggunaan
Kasus penggunaan ini mengharuskan Anda mengonfigurasi integrasi berikut:
- Siemplify
- Alat
- Mitre ATT&CK
- Google Cloud IAM
- Google Chronicle
- Functions
- Google Cloud Compute
- Email V2
- VirusTotal v3
Integrasi Google Security Command Center dan Mandiant bersifat opsional.
Pastikan Anda telah menginstal kasus penggunaan sebelum mengonfigurasinya.
- Di Google SecOps, buka tab Playbooks.
- Pilih playbook SCC & Chronicle Cloud DIR.
- Klik dua kali Blok inisialisasi untuk mengonfigurasinya.
- Konfigurasi playbook menggunakan parameter berikut:
| Nama parameter | Nilai yang memungkinkan | Deskripsi |
|---|---|---|
Mandiant_Enrichment |
True atau False |
Jika Integrasi Mandiant perlu dikonfigurasi untuk penyiapan ini. Anda dapat menghapus pengayaan jika jarang mendapatkan informasi yang bermakna. Menghapus blok pengayaan akan meningkatkan kecepatan eksekusi playbook. |
SCC_Enrichment |
True atau False |
Jika Integrasi Security Command Center harus dikonfigurasi untuk penyiapan ini. Anda dapat menghapus pengayaan jika Anda jarang mendapatkan informasi yang bermakna. Menghapus blok pengayaan akan meningkatkan kecepatan eksekusi playbook. |
IAM_Enrichment |
True atau False |
Jika True, playbook menggunakan kemampuan IAM
untuk pengayaan tambahan. Anda dapat menghapus pengayaan jika jarang mendapatkan informasi yang bermakna. Menghapus blok pengayaan akan meningkatkan
kecepatan eksekusi playbook. |
Compute_Enrichment |
True atau False |
Jika True, playbook akan menggunakan kemampuan Compute Engine untuk pengayaan tambahan. Anda dapat menghapus pengayaan jika Anda jarang mendapatkan informasi yang bermakna. Menghapus blok pengayaan akan meningkatkan
kecepatan eksekusi playbook. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.