Integrar o Google Chronicle ao Google SecOps
Este documento explica como integrar o Google Chronicle ao Google Security Operations (Google SecOps).
Versão da integração: 64.0
Casos de uso
A integração do Google Chronicle pode abordar os seguintes casos de uso:
Investigação e correção automatizadas de phishing:use os recursos do SOAR do Google SecOps para consultar automaticamente dados históricos de e-mails, registros de atividade do usuário e inteligência de ameaças para avaliar a legitimidade dos e-mails. A correção automatizada pode ajudar você com a triagem e o isolamento, evitando a propagação de malware ou violações de dados.
Enriquecimento de alertas de segurança:use os recursos de SOAR do Google SecOps para enriquecer um alerta gerado em um SIEM com contexto histórico, como comportamento anterior do usuário e informações de recursos. Isso oferece aos analistas uma visão abrangente de um incidente, permitindo uma tomada de decisões mais rápida e fundamentada.
Caça a ameaças com base em insights do Google SecOps:use os recursos de SOAR do Google SecOps para automatizar o processo de consulta de outras ferramentas de segurança em busca de indicadores de comprometimento (IOCs) relacionados. Isso ajuda a identificar proativamente possíveis violações antes que elas aumentem.
Playbooks de resposta a incidentes automatizados:use os recursos do Google SecOps SOAR para acionar playbooks predefinidos que usam dados do Google SecOps para isolar sistemas comprometidos, bloquear endereços IP maliciosos e notificar as partes interessadas relevantes. Isso pode reduzir o tempo de resposta a incidentes e minimizar o impacto dos incidentes de segurança.
Relatórios e auditorias de compliance:use os recursos de SOAR do Google SecOps para automatizar a coleta de dados de segurança do Google SecOps para relatórios de compliance, simplificando o processo de auditoria e reduzindo o esforço manual.
Antes de começar
Antes de configurar a integração do Google Chronicle no Google SecOps, verifique se você tem o seguinte:
Google Cloud project: acesso a um Google Cloud projeto ativo.
Permissões: os papéis necessários do Identity and Access Management (IAM) no seu projeto do Google Cloud para criar e gerenciar contas de serviço e políticas do IAM.
Configurar a integração
As etapas de configuração dependem do tipo de implantação do Google SecOps:
Implantação unificada do SecOps: se a instância do Google SecOps fizer parte de uma implantação unificada do SecOps (integrada ao SIEM do Google Security Operations), a integração geralmente usa uma conta de serviço padrão gerenciada por Google. Nesse caso, não é necessário fazer upload de uma chave JSON da conta de serviço nem configurar manualmente a Identidade da carga de trabalho. As permissões necessárias são pré-configuradas ou herdadas do ambiente host.
Implantação independente do SOAR: se a instância do Google SecOps for uma implantação independente do SOAR (não integrada ao SIEM do Google Security Operations), configure a autenticação manualmente usando um dos seguintes métodos:
Arquivo de chave JSON da conta de serviço
Federação de identidade da carga de trabalho
Autenticação com uma chave JSON de conta de serviço
O processo de autenticação de uma chave JSON de conta de serviço é diferente entre a API Chronicle e a API Backstory.
Autenticação da API Chronicle (recomendada)
Para usar a API Chronicle, é necessário criar uma conta de serviço no seu projetoGoogle Cloud .
No console Google Cloud , acesse IAM e administrador > Contas de serviço.
Selecione Criar conta de serviço e siga as instruções para criar a conta de serviço necessária.
Selecione o endereço de e-mail da nova conta de serviço e acesse Chaves > Adicionar chave > Criar nova chave.
Selecione
JSONcomo o tipo de chave e clique em Criar. O download de um arquivo de chave JSON é feito no seu computador.Em Permissões > Gerenciar acesso, atribua os papéis do IAM específicos do Google SecOps necessários à conta de serviço.
Autenticação da API Backstory
Para usar a API Backstory, é necessário ter uma conta de serviço. Um administrador precisa criar essa conta para você.
Entre em contato com o suporte do Google SecOps e peça uma conta de serviço para a API Backstory. Forneça os detalhes necessários para a implantação do SOAR.
O suporte do Google SecOps vai fornecer um arquivo de chave JSON para a conta de serviço.
Use a chave fornecida na configuração da integração.
Autenticação com a Identidade da carga de trabalho (recomendado)
A Identidade da carga de trabalho é o método de autenticação recomendado e mais seguro para implantações autônomas de SOAR. Ele elimina a necessidade de gerenciar chaves de contas de serviço de longa duração ao ativar credenciais federadas de curta duração.
Para configurar a autenticação com a Identidade da carga de trabalho, siga estas etapas:
Crie um pool de identidades e um provedor de carga de trabalho:
No console do Google Cloud , acesse IAM e administrador > Federação de identidade da carga de trabalho.
Siga as instruções para criar um pool de identidades da carga de trabalho e um provedor de pool de identidades da carga de trabalho que confia no Google SecOps como uma identidade externa.
É possível configurar o provedor para confiar no Google SecOps como uma fonte de identidade externa usando o OpenID Connect (OIDC).
-
No console Google Cloud , acesse IAM e administrador > Contas de serviço.
Crie uma conta de serviço dedicada no seu projeto do Google Cloud . Essa conta será representada pela carga de trabalho externa (Google SecOps).
Conceda permissões à conta de serviço:
Atribua os papéis do IAM específicos do Google SecOps necessários (por exemplo, Leitor do Chronicle, Editor do Chronicle Security Operations) à conta de serviço.
Conceda a função
Service Account Token Creatorao provedor do pool de Identidade da carga de trabalho que você criou. Essa permissão permite que o provedor personifique essa conta de serviço.
Configure a relação de confiança:
Estabeleça a relação de confiança entre o provedor de pool de identidades de carga de trabalho e a conta de serviço. Isso vincula a identidade externa (que representa o Google SecOps) à conta de serviço Google Cloud .
Configure o parâmetro de integração:
Na caixa de diálogo de configuração da integração, insira o endereço de e-mail da conta de serviço no campo E-mail da Identidade da carga de trabalho.
Para instruções mais detalhadas sobre como configurar a federação de identidade da carga de trabalho, consulte Google Cloud Identidade da carga de trabalho.
Parâmetros de integração
A integração do Google Chronicle requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
UI Root |
Obrigatório. O URL base da interface do SIEM do Google SecOps. Isso é usado para gerar automaticamente links diretos de volta à plataforma do SIEM nos registros de caso. O valor padrão é |
API Root |
Obrigatório. A raiz da API para sua instância do SIEM do Google SecOps. O valor depende do seu método de autenticação:
Usar as credenciais erradas para a raiz da API resulta em uma falha de conexão. |
User's Service Account |
Opcional. O conteúdo completo do arquivo de chave JSON da conta de serviço. Se esses parâmetros e os |
Workload Identity Email |
Opcional. O endereço de e-mail do cliente da sua federação de identidade da carga de trabalho. Esse parâmetro tem prioridade sobre o arquivo de chave Para usar a federação de identidade da carga de trabalho, conceda o papel
|
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Google SecOps SIEM. Ativado por padrão. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Adicionar linhas à tabela de dados
Use a ação Adicionar linhas à tabela de dados para adicionar linhas a uma tabela de dados no Google SecOps.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Para configurar a ação, use os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Data Table Name |
Obrigatório. O nome de exibição da tabela de dados a ser atualizada. |
Rows |
Obrigatório. Uma lista de objetos JSON que contém informações sobre as linhas a serem adicionadas. Exemplo:
{
"columnName1": "value1",
"columnName2": "value2"
}
|
Saídas de ação
A ação Adicionar linhas à tabela de dados fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Insight de entidade | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra um resultado JSON de amostra retornado pela ação Adicionar linhas à tabela de dados:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
}
}
Mensagens de saída
A ação Adicionar linhas à tabela de dados fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully added rows to the data table
DATA_TABLE_NAME in
Google SecOps. |
A ação foi concluída. |
Error executing action "Add Rows to Data Table". Reason:
ERROR_REASON |
A ação falhou.
Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Adicionar linhas à tabela de dados:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Adicionar valores à lista de referência
Use a ação Adicionar valores à lista de referência para adicionar valores a uma lista de referência no Google SecOps.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Para configurar a ação, use os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Reference List Name |
Obrigatório. O nome da lista de referência a ser atualizada. |
Values |
Obrigatório. Uma lista separada por vírgulas de valores a serem adicionados à lista de referência. |
Saídas de ação
A ação Adicionar valor à lista de referência fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Insight de entidade | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Adicionar valor à lista de referência com a API Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Adicionar valor à lista de referência com a API Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_NAME",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Mensagens de saída
A ação Adicionar valores à lista de referência fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully added values to the reference list
REFERENCE_LIST_NAME. |
A ação foi concluída. |
Error executing action "Add Values To Reference List". Reason:
ERROR_REASON |
A ação falhou.
Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Adicionar valores à lista de referência:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Peça ao Gemini
Use a ação Peça ao Gemini para enviar um comando de texto ao Gemini no Google SecOps.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Para configurar a ação, use os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Automatic Opt-in |
Opcional. Se selecionada, a peça de simulação ativa automaticamente a conversa do Gemini para o usuário sem exigir uma confirmação manual. Ativado por padrão. |
Prompt |
Obrigatório. O comando ou a pergunta inicial para enviar ao Gemini. |
Saídas de ação
A ação Perguntar ao Gemini oferece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Insight de entidade | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Perguntar ao Gemini:
{
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/users/me/conversations/db3b0fc2-94f8-42ae-b743-c3693f593269/messages/b58e3186-e697-4400-9da8-8ef252a20bd9",
"input": {
"body": "Is IP 159.138.84.217 malicious? What can you tell me about it?"
},
"responses": [
{
"blocks": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<p>The IP address 159.138.84.217 is associated with malware and threat actors.</p>\n<ul>\n<li>It is an IPv4 indicator.</li>\n<li>It is associated with BEACON malware.</li>\n<li>It is categorized as malware-Backdoor.</li>\n<li>It has a low confidence, high severity threat rating.</li>\n<li>VirusTotal's IP Address Report indicates the network for this IP is 159.138.80.0/20, and the IP is associated with HUAWEI CLOUDS in Singapore.</li>\n<li>VirusTotal's last analysis on April 22, 2025, showed 8 malicious detections out of 94 sources.</li>\n</ul>\n<p>I might have more details for a question with more context (e.g., what is the source of the IP, what type of network traffic is associated with the IP).</p>\n"
}
}
],
"references": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<ol>\n<li><a href=\"https://advantage.mandiant.com/indicator/ipv4/159.138.84.217\" target=\"_blank\">Mandiant - indicator - 159.138.84.217</a></li>\n</ol>\n"
}
}
],
"groundings": [
"IP address 159.138.84.217 malicious cybersecurity",
"IP address 159.138.84.217 threat intelligence"
]
}
],
"createTime": "2025-05-16T11:31:36.660538Z"
}
}
Mensagens de saída
A ação Peça ao Gemini fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully executed a prompt in Google SecOps. |
A ação foi concluída. |
Error executing action "GoogleChronicle - Ask Gemini".
Reason: ERROR_REASON |
A ação falhou.
Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Perguntar ao Gemini:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enriquecer domínio – descontinuado
Use a ação Enriquecer domínio para enriquecer domínios usando informações de IoCs no SIEM do Google SecOps.
Essa ação é executada nas seguintes entidades do Google SecOps:
URLHostname
Entradas de ação
A ação Enriquecer domínio exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Create Insight |
Se selecionada, a ação vai criar um insight com informações sobre as entidades. Ativado por padrão. |
Only Suspicious Insight |
Se selecionada, a ação só vai criar um insight para entidades marcadas como suspeitas. Não ativado por padrão. Se você selecionar esse parâmetro, também precisará selecionar |
Lowest Suspicious Severity |
Obrigatório. A gravidade mais baixa associada ao domínio necessária para sinalizá-lo como suspeito. O valor padrão é
|
Mark Suspicious N/A Severity |
Obrigatório. Se essa opção for selecionada e as informações sobre a gravidade não estiverem disponíveis, a ação marcará a entidade como suspeita. |
Saídas de ação
A ação Enriquecer domínio fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Disponível |
| Insight de entidade | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
A ação Enriquecer domínio fornece a seguinte tabela:
Nome: ENTITY_IDENTIFIER
Colunas:
- Origem
- Gravidade
- Categoria
- Confiança
Enriquecimento de entidade
A ação Enriquecer domínio é compatível com a seguinte lógica de enriquecimento de entidades:
| Campo de aprimoramento | Lógica (quando aplicar) |
|---|---|
severity |
Quando disponível em JSON |
average_confidence |
Quando disponível em JSON |
related_domains |
Quando disponível em JSON |
categories |
Quando disponível em JSON |
sources |
Quando disponível em JSON |
first_seen |
Quando disponível em JSON |
last_seen |
Quando disponível em JSON |
report_link |
Quando disponível em JSON |
Resultado do JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Enriquecer domínio com a API Backstory:
{
{
"sources": [
{
"source": "ET Intelligence Rep List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação Enriquecer domínio com a API Chronicle:
[
{
"Entity": "example.com",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
},
{
"category": "Phishing",
"firstActiveTime": null,
"lastActiveTime": "2020-11-27T14:31:37Z",
"addresses": [
{
"domain": "example.com"
},
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "high",
"confidenceScore": {
"strRawConfidenceScore": "high"
}
},
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
},
{
"metadata": {
"title": "ESET Threat Intelligence",
"description": "ESET Threat Intelligence"
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Phishing",
"activeTimerange": {
"end": "2020-11-27T14:31:37Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "High",
"rawSeverity": "High"
}
]
},
{
"metadata": {
"title": "Mandiant Active Breach Intelligence",
"description": "Mandiant Active Breach IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
}
]
}
}
]
Mensagens de saída
A ação Enriquecer domínio fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully enriched the following domain in Google Chronicle:
LIST_OF_IDS |
A ação foi concluída. |
Error executing action "Enrich Domain". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Enriquecer domínio:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enriquecer entidades
Use a ação Enriquecer entidades para consultar o Google SecOps e obter mais contexto e atributos para os tipos de entidades especificados. Essa ação melhora os dados de investigação de ameaças ao integrar a inteligência externa.
Essa ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressURL(extrai o domínio do URL)UserEmail(entidade de usuário com regex de e-mail)
Entradas de ação
A ação Enriquecer entidades exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Namespace |
Opcional. O agrupamento lógico ou escopo das entidades a serem enriquecidas. Se não estiver selecionado, o enriquecimento será aplicado a entidades no namespace padrão ou em todos os namespaces acessíveis. As entidades precisam pertencer a esse namespace para serem processadas. |
Time Frame |
Opcional. Um período relativo (por exemplo, Esse parâmetro tem precedência sobre |
Start Time |
Opcional. O horário de início do período de enriquecimento no formato ISO 8601. Use isso com |
End Time |
Opcional. O horário de término absoluto do período de enriquecimento no formato ISO 8601. Usado com |
Saídas de ação
A ação Enriquecer entidades fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
| Campo de aprimoramento | Origem (chave JSON) | Aplicabilidade |
|---|---|---|
GoogleSecOps_related_entities |
O número de related_entities | Quando disponível no resultado JSON. |
GoogleSecOps_alert_count_ruleName |
{alertCounts.count} para cada regra específica | Quando disponível no resultado JSON. |
GoogleSecOps_first_seen |
metric.firstSeen |
Quando disponível no resultado JSON. |
GoogleSecOps_last_seen |
metric.lastSeen |
Quando disponível no resultado JSON. |
GoogleSecOps_flattened_key_under_entity |
O valor da chave, extraído da estrutura aninhada no objeto "entity". |
Quando disponível no resultado JSON. |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enriquecer entidades:
[
{
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"domain": {
"name": "markossolomon.com",
"firstSeenTime": "1970-01-01T00:00:00Z",
"lastSeenTime": "1970-01-01T00:00:00Z",
"registrar": "NameCheap, Inc.",
"creationTime": "2013-12-06T02:41:09Z",
"updateTime": "2019-11-06T11:48:33Z",
"expirationTime": "2020-12-06T02:41:09Z",
"registrant": {
"userDisplayName": "WhoisGuard Protected",
"emailAddresses": [
"58d09cb5035042e9920408f8bafd0869.protect@whoisguard.com"
],
"personalAddress": { "countryOrRegion": "PANAMA" },
"companyName": "WhoisGuard, Inc."
}
}
}
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "npatni-sysops",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "npatni-sysops" }
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "329" },
{ "rule": "rule_testbucket", "count": "339" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "332" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 1000 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "exlab2019-ad",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "exlab2019-ad" }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.30.202.229",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "ip": ["172.30.202.229"] }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.17.0.1",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": { "namespace": "Yuriy", "asset": { "ip": ["172.17.0.1"] } },
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
}
},
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "911d039e71583a07320b32bde22f8e22",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"file": {
"sha256": "bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527",
"md5": "911d039e71583a07320b32bde22f8e22",
"sha1": "ded8fd7f36417f66eb6ada10e0c0d7c0022986e9",
"size": "278528",
"fileType": "FILE_TYPE_PE_EXE",
"names": [
"C:\\Windows\\System32\\cmd.exe",
"cmd",
"Cmd.Exe",
"C:\\Windows\\system32\\cmd.exe",
"C:\\Windows\\SYSTEM32\\cmd.exe",
"cmd.exe",
"C:\\\\Windows\\\\System32\\\\cmd.exe",
"C:\\windows\\SYSTEM32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\wjxpour4.d0f\\cmd.exe",
"c:\\Windows\\System32\\cmd.exe",
"Utilman.exe",
"c:\\windows\\system32\\cmd.exe",
"System32/cmd.exe",
"UtilityVM/Files/Windows/System32/cmd.exe",
"KerishDoctor/Data/KerishDoctor/Restore/cmd.rst",
"cmd.exe_",
"C:\\WINDOWS\\SYSTEM32\\cmd.exe",
"Cmd.exe",
"Windows/System32/cmd.exe",
"sethc.exe",
"C:\\WINDOWS\\System32\\cmd.exe",
"esRzqurX.exe",
"rofl.png",
"F:\\Windows\\SYSTEM32\\cmd.exe",
"utilman.exe",
"C:\\Windows\\system32\\CMD.exe",
"sys32exe/cmd.exe",
"cmd.txt",
"C:\\WINDOWS\\system32\\cmd.exe",
"cmd2.exe",
"Utilman.exe.sc",
"uhrHRIv8.exe",
"C:\\windows\\system32\\cmd.exe",
"submitted_file",
"C:\\Users\\user\\AppData\\Local\\Temp\\n1qo0bq3.2tn\\KerishDoctor\\Data\\KerishDoctor\\Restore\\cmd.rst",
"J6ff7z0hLYo.exe",
"N:\\Windows\\System32\\cmd.exe",
"Q:\\Windows\\System32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\cmd.exe",
"C:\\Users\\<USER>\\AppData\\Local\\Temp\\cmd.exe",
"test.exe",
"68E2F01F8DE9EFCAE9C0DD893DF0E8C34E2B5C98A6C4073C9C9E8093743D318600.blob",
"8FCVE0Kq.exe",
"cmd (7).exe",
"cmd (8).exe",
"21455_16499564_bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527_cmd.exe",
"LinX v0.9.11 (Intel)/cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\inbvmkaa.1xd\\LinX v0.9.11 (Intel)\\cmd.exe",
"cmd_b.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\sfd5bhoe.nqi\\cmd.exe",
"cMd.exe",
"Repl_Check.bat__",
"cmd.pdf",
"cmd.EXE",
"C:\\Users\\user\\AppData\\Local\\Temp\\uszjr42t.kda\\cmd.exe",
"LFepc1St.exe",
"firefox.exe",
"3BcnNlWV.exe",
"Utilman.exebak",
"utilman1.exe",
"1.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\ispvscgp.ep2\\sys32exe\\cmd.exe",
"cmd_1771019736291028992.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\xijgwqvd.54g\\cmd.exe",
"Sethc.exe",
"\\Device\\CdRom1\\DANFE352023067616112\\DANFE352023067616112.EXE",
"DANFE352023067616112.exe",
"file.exe",
"DANFE352023067616112/DANFE352023067616112.exe",
"C:\\Windows\\SYSTEM32\\Cmd.exe",
"pippo.exe",
"C:\\Windows\\System32\\sethc.exe",
"cmd.exe-bws024-windowsfolder",
"whatever.exe",
"sethc.exe.bak",
"S71dbOR1.exe",
"F:\\windows\\SYSTEM32\\cmd.exe",
"L6puhWL7.exe",
"DANFE357986551413927.exe",
"DANFE357666506667634.exe",
"\\Device\\CdRom1\\DANFE357666506667634\\DANFE357666506667634.EXE",
"\\Device\\CdRom1\\DANFE357986551413927\\DANFE357986551413927.EXE",
"\\Device\\CdRom1\\DANFE358567378531506\\DANFE358567378531506.EXE",
"\\Device\\CdRom1\\HtmlFactura3f48daa069f0e42253194ca7b51e7481DPCYKJ4Ojk\\HTMLFACTURA3F48DAA069F0E42253194CA7B51E7481DPCYKJ4OJK.EXE",
"\\Device\\CdRom1\\DANFE357410790837014\\DANFE357410790837014.EXE",
"\\Device\\CdRom1\\DANFE357702036539112\\DANFE357702036539112.EXE",
"winlogon.exe",
"AccessibilityEscalation.A' in file 'utilman.exe'",
"qpl9AqT0.exe",
"C:\\windows\\system32\\CMD.exe",
"C:\\po8az\\2po9hmc\\4v1b5.exe",
"batya.exe",
"nqAwJaba.exe",
"\\Device\\CdRom1\\DANFE356907191810758\\DANFE356907191810758.EXE",
"/Volumes/10_11_2023/DANFE356907191810758/DANFE356907191810758.exe",
"/Volumes/09_21_2023/DANFE357986551413927/DANFE357986551413927.exe",
"\\Device\\CdRom1\\DANFE355460800350113\\DANFE355460800350113.EXE",
"/Volumes/09_19_2023/DANFE355460800350113/DANFE355460800350113.exe",
"DANFE352429512050669.exe",
"/Volumes/04_15_2023/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3.exe"
],
"firstSeenTime": "2024-12-15T09:07:02Z",
"lastSeenTime": "2025-07-18T07:43:59.045Z",
"lastAnalysisTime": "2025-07-16T10:06:40Z",
"signatureInfo": {
"sigcheck": {
"verificationMessage": "Signed",
"verified": true,
"signers": [{ "name": "Microsoft Windows" }]
}
},
"firstSubmissionTime": "2025-07-15T16:30:27Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "329" },
{ "rule": "rule_testbucket", "count": "345" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "326" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{ "alertCount": 31 },
{ "alertCount": 111 },
{ "alertCount": 109 },
{ "alertCount": 82 },
{ "alertCount": 86 },
{ "alertCount": 98 },
{ "alertCount": 86 },
{ "alertCount": 85 },
{ "alertCount": 92 },
{ "alertCount": 89 },
{ "alertCount": 90 },
{ "alertCount": 41 }
],
"bucketSize": "172800s"
},
"prevalenceResult": [
{ "prevalenceTime": "2025-01-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-16T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-17T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-18T00:00:00Z", "count": 2 }
],
"relatedEntities": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiFQoGCPbso7wGEgsIv_bnwwYQwMq6FQ",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"hostname": "exlab2019-ad",
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIVCgYI9uyjvAYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"ip": ["172.30.202.229"],
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
}
]
}
},
{
"Entity": "tencent.com",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"domain": {
"name": "tencent.com",
"firstSeenTime": "2025-01-14T14:01:00Z",
"lastSeenTime": "2025-01-14T15:02:00Z",
"registrar": "MarkMonitor Information Technology (Shanghai) Co., Ltd.",
"creationTime": "1998-09-14T04:00:00Z",
"updateTime": "2024-08-20T08:04:01Z",
"expirationTime": "2032-09-13T04:00:00Z",
"registrant": {
"emailAddresses": [""],
"personalAddress": { "countryOrRegion": "CHINA" },
"companyName": "\u6df1\u5733\u5e02\u817e\u8baf\u8ba1\u7b97\u673a\u7cfb\u7edf\u6709\u9650\u516c\u53f8"
}
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "00:50:56:b6:34:86",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "mac": ["00:50:56:b6:34:86"] }
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
}
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
}
]
Mensagens de saída
A ação Enriquecer entidades pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer entidades:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enriquecer IP (descontinuado)
Use a ação Enriquecer IP para enriquecer entidades de IP usando informações de IoCs no SIEM do Google SecOps.
Essa ação é executada na entidade "Endereço IP".
Entradas de ação
A ação Enriquecer IP exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Create Insight |
Opcional. Se selecionada, a ação cria um insight com informações sobre entidades.Ativado por padrão. |
Only Suspicious Insight |
Opcional. Se selecionada, a ação cria insights apenas para entidades marcadas como suspeitas.Não ativado por padrão. Se você selecionar esse parâmetro, |
Lowest Suspicious Severity |
Obrigatório. A gravidade mais baixa associada ao endereço IP para marcá-lo como suspeito. O valor padrão é
|
Mark Suspicious N/A Severity |
Obrigatório. Se essa opção for selecionada e as informações sobre a gravidade não estiverem disponíveis, a ação marcará a entidade como suspeita. |
Saídas de ação
A ação Enriquecer IP fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
Nome: ENTITY_IDENTIFIER
Colunas:
- Origem
- Gravidade
- Categoria
- Confiança
- Domínios relacionados
Enriquecimento de entidade
A ação Enriquecer IP é compatível com a seguinte lógica de enriquecimento de entidade:
| Campo de aprimoramento | Lógica (quando aplicar) |
|---|---|
severity |
Quando disponível em JSON |
average_confidence |
Quando disponível em JSON |
related_domains |
Quando disponível em JSON |
categories |
Quando disponível em JSON |
sources |
Quando disponível em JSON |
first_seen |
Quando disponível em JSON |
last_seen |
Quando disponível em JSON |
report_link |
Quando disponível em JSON |
Resultado JSON
O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação Enriquecer IP com a API Backstory:
{
{
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação Enriquecer IP com a API Chronicle:
[
{
"Entity": "192.0.2.121",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "low",
"confidenceScore": {
"strRawConfidenceScore": "67"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "67",
"rawSeverity": "Low"
}
]
}
]
}
}
]
Mensagens de saída
A ação Enriquecer IP fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully enriched the following IPs from Google Chronicle:
LIST_OF_IPS |
A ação foi concluída. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Enriquecer IP:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Executar Retrohunt
Use a ação Executar retrohunt para executar uma retrohunt de regra no Google SecOps.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Executar retrocaça exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Rule ID |
Obrigatório. O ID da regra para executar uma RetroHunt. Use o formato |
Time Frame |
Opcional. Um período para recuperar os resultados. Os valores possíveis são:
Se O valor padrão é |
Start Time |
O horário de início dos resultados no formato ISO 8601. Esse parâmetro é obrigatório se o parâmetro |
End Time |
O horário de término dos resultados no formato ISO 8601.
Se você não definir um valor e selecionar o valor |
Saídas de ação
A ação Executar retrohunt fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Insight de entidade | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Executar retrocaça com a API Backstory:
{
"retrohuntId": "oh_d738c8ea-8fd7-4cc1-b43d-25835b8e1785",
"ruleId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497",
"versionId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497@v_1612472807_179679000",
"eventStartTime": "2021-01-14T23:00:00Z",
"eventEndTime": "2021-01-30T23:00:00Z",
"retrohuntStartTime": "2021-02-08T02:40:59.192113Z",
"state": "RUNNING"
}
O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação Executar retrocaça com a API Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/RetrohuntMetadata",
"retrohunt": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID/retrohunts/RETROHUNT_ID",
"executionInterval": {
"startTime": "2025-01-22T12:16:20.963182Z",
"endTime": "2025-01-23T12:16:20.963182Z"
}
},
"retrohuntId": "RETROHUNT_ID",
"ruleId": "RULE_ID",
"versionId": "VERSION_ID",
"eventStartTime": "2025-01-22T12:16:20.963182Z",
"eventEndTime": "2025-01-23T12:16:20.963182Z"
}
Mensagens de saída
A ação Executar retrohunt fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully executed a retrohunt for the provided rule in Google
Chronicle.
|
A ação foi concluída. |
Error executing action "Execute Retrohunt". Reason:
ERROR_REASON |
A ação falhou.
Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Executar retrocaça:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Executar consulta do UDM
Use a ação Executar consulta da UDM para executar uma consulta personalizada da UDM no Google SecOps.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Executar consulta da UDM exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query String |
Obrigatório. A consulta a ser executada no Google SecOps. |
Time Frame |
Opcional. Um período para recuperar os resultados. Os valores possíveis são:
Se O valor padrão é |
Start Time |
Opcional. O horário de início dos resultados no formato ISO 8601 (por exemplo, Esse parâmetro é obrigatório se o parâmetro O período máximo é de 90 dias. |
End Time |
Opcional. O horário de término dos resultados em um formato ISO 8601 (por exemplo, Se você não definir um valor e o parâmetro O período máximo é de 90 dias. |
Max Results To Return |
Opcional. O número de resultados a serem retornados para uma única consulta. O valor máximo é O valor padrão é |
Saídas de ação
A ação Executar consulta da UDM fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Executar consulta UDM:
{
"events":[
"event":{
"metadata":{
"eventTimestamp":"2022-01-20T09:15:15.687Z",
"eventType":"USER_LOGIN",
"vendorName":"Example Vendor",
"productName":"Example Product",
"ingestedTimestamp":"2022-01-20T09:45:07.433587Z"
},
"principal":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.0"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
],
"location":{
"city":"San Francisco",
"state":"California",
"countryOrRegion":"US"
},
"asset":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.1",
"203.0.113.1",
"203.0.113.1"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
]
}
},
"target":{
"user":{
"userid":"Example",
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-4712406912-7108061610-2717800068-993683",
"emailAddresses":[
"example@example.com",
"admin.example@example.com"
],
"employeeId":"2406187",
"productObjectId":"f93f1540-4935-4266-aa8e-a750a319aa1c",
"firstName":"Example",
"lastName":"User",
"phoneNumbers":[
"555-01-75"
],
"title":"Executive Assistant",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
],
"managers":[
{
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-6051382818-4135626959-8120238335-834071",
"emailAddresses":[
"user@example.com"
],
"employeeId":"5478500",
"productObjectId":"8b3924d5-6157-43b3-857b-78aa6bd94705",
"firstName":"User",
"lastName":"Example",
"phoneNumbers":[
"555-01-75"
],
"title":"Chief Technology Officer",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
]
}
]
},
"ip":[
"198.51.100.1"
],
"email":"email@example.com",
"application":"Example Sign In"
},
"securityResult":[
{
"summary":"Successful Login",
"action":[
"ALLOW"
]
}
],
"extensions":{
"auth":{
"type":"SSO"
}
}
},
"eventLogToken":"96f23eb9ffaa9f7e7b0e2ff5a0d2e34c,1,1642670115687000,USER,|USER_LOGIN"
]
}
Mensagens de saída
A ação Executar consulta da UDM fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Execute UDM Query". Reason:
ERROR_REASON
|
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Execute UDM Query". Reason: you've reached a
rate limit. Please wait for several minutes and try again. |
A ação falhou. Aguarde alguns minutos antes de executar a ação novamente. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Executar consulta da UDM:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber tabelas de dados
Use a ação Receber tabelas de dados para recuperar as tabelas de dados disponíveis no Google SecOps.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Extrair tabelas de dados exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Filter Key |
Opcional. A chave para filtrar A opção Os valores possíveis são: NameDescription |
Filter Logic |
Opcional. A lógica de filtro a ser aplicada. Os valores possíveis são: Equal (para correspondências exatas)Contains(para correspondências de substring) |
Filter Value |
Opcional. O valor a ser usado no filtro. Os valores possíveis são: Equal (para correspondências exatas)Contains(para correspondências de substring)
Se nada for fornecido, o filtro não será aplicado. |
Expanded Rows |
Opcional. Se selecionada, a resposta inclui linhas detalhadas da tabela de dados. Não ativado por padrão. |
Max Data Tables To Return |
Obrigatório. O número de tabelas de dados a serem retornadas. O valor máximo é |
Max Data Table Rows To Return |
Obrigatório. A quantidade de linhas da tabela de dados a serem retornadas. Use esse parâmetro apenas se O valor máximo é |
Saídas de ação
A ação Extrair tabelas de dados fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Extrair tabelas de dados:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table",
"displayName": "data_table",
"createTime": "2025-05-14T12:52:50.064133Z",
"updateTime": "2025-05-14T13:13:48.631442Z",
"columnInfo": [
{
"originalColumn": "columnName1",
"columnType": "STRING"
},
{
"columnIndex": 1,
"originalColumn": "columnName2",
"columnType": "STRING"
},
{
"columnIndex": 2,
"originalColumn": "columnName3",
"columnType": "STRING"
}
],
"dataTableUuid": "c3cce57bb8d940d5ac4523c37d540436",
"approximateRowCount": "2",
"rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
Mensagens de saída
A ação Extrair tabelas de dados fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully found data tables for the provided criteria in Google
SecOps |
A ação foi concluída. |
Error executing action "Get Data Tables". Reason:
ERROR_REASON |
A ação falhou.
Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Receber tabelas de dados:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Acessar detalhes da detecção
Use a ação Receber detalhes da detecção para extrair informações sobre uma detecção no Google SecOps.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Receber detalhes da detecção exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Rule ID |
Obrigatório. O ID da regra relacionada à detecção. Use o formato |
Detection ID |
Obrigatório. O ID da detecção para buscar detalhes. Se caracteres especiais forem fornecidos, a ação não vai falhar, mas vai retornar uma lista de detecções. |
Saídas de ação
A ação Receber detalhes da detecção fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação Receber detalhes da detecção:
{
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "singleEventRule2",
"urlBackToProduct":
"https://INSTANCE/ruleDetections?
ruleId=ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d&selectedList=RuleDetectionsViewTimeline&
selectedParentDetectionId=de_ce594791-09ed-9681-27fa-3b7c8fa6054c&
selectedTimestamp=2020-12-03T16: 50: 47.647245Z","ruleId": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d",
"ruleVersion": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d@v_1605892822_687503000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT"
}
],
"createdTime": "2020-12-03T19:19:21.325134Z",
"id": "de_ce594791-09ed-9681-27fa-3b7c8fa6054c",
"timeWindow": {
"startTime": "2020-12-03T16:50:47.647245Z",
"endTime": "2020-12-03T16:50:47.647245Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2020-12-03T16:50:47.647245Z",
"collectedTimestamp": "2020-12-03T16:50:47.666064010Z",
"eventType": "NETWORK_DNS",
"productName": "ProductName",
"ingestedTimestamp": "2020-12-03T16:50:49.494542Z"
},
"principal": {
"ip": [
"192.0.2.1"
]
},
"target": {
"ip": [
"203.0.113.1"
]
},
"securityResult": [
{
"action": [
"UNKNOWN_ACTION"
]
}
],
"network": {
"applicationProtocol": "DNS",
"dns": {
"questions": [
{
"name": "example.com",
"type": 1,
"class": 1
}
],
"id": 12345,
"recursionDesired": true
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2020-12-03T16:50:47.647245Z"
}
Mensagens de saída
A ação Receber detalhes da detecção fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully fetched information about the detection with ID
DETECTION_ID in Google Chronicle. |
A ação foi concluída. |
Error executing action "Get Detection Details". Reason:
ERROR_REASON |
A ação falhou.
Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Receber detalhes da detecção:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber listas de referências
Use a ação Receber listas de referência para recuperar as listas de referência disponíveis no Google SecOps.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Extrair listas de referência exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Filter Key |
A chave para filtrar.
Os valores possíveis são:
|
Filter Logic |
A lógica de filtro a ser aplicada. Os valores possíveis são: Equal (para correspondências exatas)Contains(para correspondências de substring)O valor padrão é |
Filter Value |
O valor a ser usado no filtro.
Os valores possíveis são: Equal (para correspondências exatas)Contains(para correspondências de substring)
Se nenhum valor for fornecido, o filtro não será aplicado. |
Expanded Details |
Se selecionada, a ação vai retornar informações detalhadas sobre as listas de referência.
Não ativado por padrão. |
Max Reference Lists To Return |
O número de listas de referência a serem retornadas.
O valor padrão é |
Saídas de ação
A ação Extrair lista de referências fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
Em um painel de casos, a opção Receber listas de referência fornece a seguinte tabela:
Nome: Listas de referência disponíveis
Colunas:
- Nome
- Descrição
- Tipo
Resultado JSON
O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação Receber listas de referência com a API Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação Get Reference Lists com a API Chronicle:
[
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_ID",
"displayName": "REFERENCE_LIST_ID",
"revisionCreateTime": "2025-01-09T15:53:10.851775Z",
"description": "Test reference list",
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-09T15:53:10.851775Z"
}
]
Mensagens de saída
A ação Receber listas de referência fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action
ACTION_NAME. Reason:
ERROR_REASON
|
A ação falhou.
Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action
ACTION_NAME. Reason: "Invalid
value was provided for "Max Reference Lists to Return":
PROVIIDED_VALUE. Positive number should be provided. |
A ação falhou.
Verifique o valor do parâmetro |
Script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Receber listas de referência:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber detalhes da regra
Use a ação Receber detalhes da regra para recuperar informações sobre uma regra no Google SecOps.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Receber detalhes da regra exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Rule ID |
Obrigatório. O ID da regra para buscar os detalhes. |
Saídas de ação
A ação Receber detalhes da regra fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Receber detalhes da regra com a API Backstory:
{
"ruleId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f",
"versionId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f@v_1602631093_146879000",
"ruleName": "SampleRule",
"metadata": {
"description": "Sample Description of the Rule",
"author": "author@example.com"
},
"ruleText": "rule SampleRule {
meta:
description = \"Sample Description of the Rule\"
author = \"author@example.com\"
events:
// This will just generate lots of detections
$event.metadata.event_type = \"NETWORK_HTTP\"
condition:
$event
} ",
"liveRuleEnabled": true,
"versionCreateTime": "2020-10-13T23:18:13.146879Z",
"compilationState": "SUCCEEDED"
}
O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação Receber detalhes da regra com a API Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID",
"revisionId": "v_1733917896_973567000",
"displayName": "Test_rule_SingleEvent",
"text": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"author": "example_user",
"metadata": {
"author": "example_user",
"description": "windowed single event example rule",
"severity": null
},
"createTime": "2024-12-11T11:36:18.192127Z",
"revisionCreateTime": "2024-12-11T11:51:36.973567Z",
"compilationState": "SUCCEEDED",
"type": "SINGLE_EVENT",
"allowedRunFrequencies": [
"LIVE",
"HOURLY",
"DAILY"
],
"etag": "CMj55boGEJjondAD",
"ruleId": "RULE_ID",
"versionId": "RULE_ID@v_1733917896_973567000",
"ruleName": "Test_rule_SingleEvent",
"ruleText": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"ruleType": "SINGLE_EVENT",
"versionCreateTime": "2024-12-11T11:51:36.973567Z"
}
Mensagens de saída
A ação Receber detalhes da regra fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully fetched information about the rule with ID
RULE_ID in Google Chronicle.
|
A ação foi concluída. |
Error executing action "Get Rule Details". Reason:
ERROR_REASON
|
A ação falhou.
Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Receber detalhes da regra:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Is Value In Data Table
Use a função Is Value In Data Table para verificar se os valores fornecidos estão em uma tabela de dados no Google SecOps.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação O valor está na tabela de dados exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Data Table Name |
Obrigatório. O nome de exibição da tabela de dados a ser pesquisada. |
Column |
Opcional. Uma lista separada por vírgulas de colunas para pesquisar. Se nenhum valor for fornecido, a ação vai pesquisar em todas as colunas. |
Values |
Obrigatório. Uma lista de valores separados por vírgulas para pesquisar. |
Case Insensitive Search |
Opcional. Se selecionada, a pesquisa não diferencia maiúsculas de minúsculas. Ativado por padrão. |
Max Data Table Rows To Return |
Obrigatório. O número de linhas da tabela de dados a serem retornadas por valor correspondente. O valor máximo é |
Saídas de ação
A ação O valor está na tabela de dados fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação O valor está na tabela de dados?:
[{
"Entity": "asda",
"EntityResult": {
"is_found": true,
"matched_rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
}]
Mensagens de saída
A ação O valor está na tabela de dados fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully searched provided values in the data table {data table}
in Google SecOps.
|
A ação foi concluída. |
| Erro ao executar a ação "Is Value In Data Table". Motivo: ERROR_REASON | A ação falhou.
Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Is Value In Data Table". Reason: the
following data tables were not found in:
DATA_TABLE_NAME:
COLUMN_NAMES. Please check the
spelling.
|
A ação falhou. |
Error executing action "Is Value In Data Table". Reason:
This action is not supported for Backstory API configuration. Please update
the integration configuration.
|
A ação falhou. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação O valor está na tabela de dados:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Is Value In Reference List
Use a ação O valor está na lista de referência? para verificar se os valores fornecidos são encontrados nas listas de referência do Google SecOps.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação O valor está na lista de referência? exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Reference List Names |
Obrigatório. Uma lista separada por vírgulas de nomes de listas de referência para pesquisar. |
Values |
Obrigatório. Uma lista de valores separados por vírgulas para pesquisar. |
Case Insensitive Search |
Opcional. Se selecionada, a pesquisa não diferencia maiúsculas de minúsculas. |
Saídas de ação
A ação O valor está na lista de referência? fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação O valor está na lista de referência? com a API Backstory:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Is Value In Reference List com a API do Chronicle:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
Mensagens de saída
A ação O valor está na lista de referência? fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully searched provided values in the reference lists in
Google Chronicle.
|
A ação foi concluída. |
| Erro ao executar a ação "O valor está na lista de referência". Motivo: ERROR_REASON | A ação falhou.
Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Is Value In Reference List". Reason: the
following reference lists were not found in Google Chronicle:
MISSING_REFERENCE_LIST_NAME(S).
Please use the action "Get Reference Lists" to see what reference lists are
available.
|
A ação falhou. Execute a ação Receber listas de referência para verificar as listas disponíveis. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação O valor está na lista de referência?:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Listar recursos
Use a ação Listar recursos para listar recursos no Google SecOps SIEM com base em entidades relacionadas em um período especificado.
Essa ação só é compatível com os hashes MD5, SHA-1 e SHA-256.
Essa ação é executada nas seguintes entidades do Google SecOps:
URLIP AddressHash
Entradas de ação
A ação List Assets exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Max Hours Backwards |
O número de horas antes do momento atual para buscar os recursos.
O valor padrão é |
Create Insight |
Se selecionada, a ação cria um insight com informações sobre as entidades. Ativado por padrão. |
Max Assets To Return |
O número de recursos a serem retornados. O valor padrão é |
Time Frame |
Opcional. Um período para recuperar os resultados. Os valores possíveis são:
Se O valor padrão é |
Start Time |
O horário de início no formato ISO 8601. Esse parâmetro é obrigatório se o
parâmetro |
End Time |
O horário de término no formato ISO 8601.
Se você não definir um valor e definir o parâmetro |
Saídas de ação
A ação List Assets fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
Nome: ENTITY_IDENTIFIER
Colunas:
- Nome do host
- Endereço IP
- Primeiro artefato detectado
- Último artefato visto
Resultado JSON
O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação List Assets com a API Backstory:
{
"assets": [
{
"asset": {
"hostname": "example"
},
"firstSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-02-28T09:18:15.675Z"
},
"lastSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-09-24T06:43:59Z"
}
}
],
"uri": [
"https://INSTANCE/domainResults?domain=www.example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2020-09-27T12%3A07%3A34.166830443Z"
]
}
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação List Assets com a API Chronicle:
[
{
"Entity": "192.0.2.229",
"EntityResult": {
"assets": [
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Open Source Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2024-09-20T14:14:07.843Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Open Source Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "OPEN_SOURCE_INTEL_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "ex ",
"valueType": "DOMAIN_NAME"
}
},
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Active Breach Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2023-07-05T02:42:52.935Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Active Breach Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "MANDIANT_ACTIVE_BREACH_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "example.com",
"valueType": "DOMAIN_NAME"
}
}
],
"uri": "https://INSTANCE.backstory.chronicle.security/destinationIpResults?ADDRESS=192.0.2.229&selectedList=IpViewDistinctAssets&referenceTime=2025-01-23T11%3A16%3A24.517449Z"
}
}
]
Mensagens de saída
A ação List Assets fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully listed related assets for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
A ação foi concluída. |
Error executing action "List Assets". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação List Assets:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Listar eventos
Use a ação Listar eventos para listar eventos em um recurso específico dentro de um período especificado.
Essa ação só pode recuperar 10.000 eventos.
Essa ação é executada nas seguintes entidades do Google SecOps:
IP addressMAC addressHostname
Entradas de ação
A ação List Events exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Event Types |
Uma lista separada por vírgulas de tipos de eventos.
Se nenhum valor for fornecido, todos os tipos de eventos serão buscados. Para uma lista de todos os valores possíveis, consulte Valores possíveis de tipo de evento. |
Time Frame |
O período especificado. Recomendamos que você o mantenha o menor possível para ter resultados melhores.
Se Se Os valores possíveis são:
O valor padrão é |
Start Time |
O horário de início no formato ISO 8601. Esse parâmetro é obrigatório se o parâmetro |
End Time |
O horário de término no formato ISO 8601. Se nenhum valor for fornecido e o parâmetro Esse parâmetro aceita o valor |
Reference Time |
O horário de referência para a pesquisa de eventos.
Se nenhum valor for fornecido, a ação usará o horário de término como referência. |
Output |
Obrigatório. O formato da saída. Os valores possíveis são:
|
Max Events To Return |
O número de eventos a serem processados para cada tipo de entidade. O valor padrão é |
Valores possíveis do tipo de evento
Os valores possíveis para o parâmetro Event Type são:
EVENTTYPE_UNSPECIFIEDPROCESS_UNCATEGORIZEDPROCESS_LAUNCHPROCESS_INJECTIONPROCESS_PRIVILEGE_ESCALATIONPROCESS_TERMINATIONPROCESS_OPENPROCESS_MODULE_LOADREGISTRY_UNCATEGORIZEDREGISTRY_CREATIONREGISTRY_MODIFICATIONREGISTRY_DELETIONSETTING_UNCATEGORIZEDSETTING_CREATIONSETTING_MODIFICATIONSETTING_DELETIONMUTEX_UNCATEGORIZEDMUTEX_CREATIONFILE_UNCATEGORIZEDFILE_CREATIONFILE_DELETIONFILE_MODIFICATIONFILE_READFILE_COPYFILE_OPENFILE_MOVEFILE_SYNCUSER_UNCATEGORIZEDUSER_LOGINUSER_LOGOUTUSER_CREATIONUSER_CHANGE_PASSWORDUSER_CHANGE_PERMISSIONSUSER_STATSUSER_BADGE_INUSER_DELETIONUSER_RESOURCE_CREATIONUSER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_UPDATE_PERMISSIONSUSER_COMMUNICATIONUSER_RESOURCE_ACCESSUSER_RESOURCE_DELETIONGROUP_UNCATEGORIZEDGROUP_CREATIONGROUP_DELETIONGROUP_MODIFICATIONEMAIL_UNCATEGORIZEDEMAIL_TRANSACTIONEMAIL_URL_CLICKNETWORK_UNCATEGORIZEDNETWORK_FLOWNETWORK_CONNECTIONNETWORK_FTPNETWORK_DHCPNETWORK_DNSNETWORK_HTTPNETWORK_SMTPSTATUS_UNCATEGORIZEDSTATUS_HEARTBEATSTATUS_STARTUPSTATUS_SHUTDOWNSTATUS_UPDATESCAN_UNCATEGORIZEDSCAN_FILESCAN_PROCESS_BEHAVIORSSCAN_PROCESSSCAN_HOSTSCAN_VULN_HOSTSCAN_VULN_NETWORKSCAN_NETWORKSCHEDULED_TASK_UNCATEGORIZEDSCHEDULED_TASK_CREATIONSCHEDULED_TASK_DELETIONSCHEDULED_TASK_ENABLESCHEDULED_TASK_DISABLESCHEDULED_TASK_MODIFICATIONSYSTEM_AUDIT_LOG_UNCATEGORIZEDSYSTEM_AUDIT_LOG_WIPESERVICE_UNSPECIFIEDSERVICE_CREATIONSERVICE_DELETIONSERVICE_STARTSERVICE_STOPSERVICE_MODIFICATIONGENERIC_EVENTRESOURCE_CREATIONRESOURCE_DELETIONRESOURCE_PERMISSIONS_CHANGERESOURCE_READRESOURCE_WRITTENANALYST_UPDATE_VERDICTANALYST_UPDATE_REPUTATIONANALYST_UPDATE_SEVERITY_SCOREANALYST_UPDATE_STATUSANALYST_ADD_COMMENT
Saídas de ação
A ação Listar eventos fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação List Events:
{
"statistics": {
"NETWORK_CONNECTION": 10
}
{
"events": [
{
"metadata": {
"eventTimestamp": "2020-09-28T14:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
},
{
"metadata": {
"eventTimestamp": "2020-09-28T17:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
}
],
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=user-example-pc&referenceTime=2020-09-28T17%3A00%3A00Z&selectedList=AssetViewTimeline&startTime=2020-09-28T14%3A20%3A00Z&endTime=2020-09-28T20%3A20%3A00Z"
]
}
}
Mensagens de saída
A ação Listar eventos fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully listed related events for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
A ação foi concluída. |
Error executing action "List Events". Reason:
ERROR_REASON
|
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "List Events". Reason: invalid event type
is provided. Please check the spelling. Supported event types:
SUPPORTED_EVENT_TYPES
|
A ação falhou.
Verifique a ortografia. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Listar eventos:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Listar IOCs
Use a ação Listar IOCs para listar todos os IOCs descobertos na sua empresa em um período especificado.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação List IOCs exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Start Time |
O horário de início dos resultados no formato ISO 8601. |
Max IoCs to Fetch |
O número máximo de IoCs a serem retornados.
O intervalo é O valor padrão é |
Saídas de ação
A ação List IOCs fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
Colunas:
- Domínio
- Categoria
- Origem
- Confiança
- Gravidade
- Tempo de ingestão do IoC
- Primeira detecção de IoC
- Hora da última visualização do IoC
- URI
Resultado JSON
O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação List IOCs:
{
"matches":[
{
"artifact":{
"domainName":"www.example.com"
},
"firstSeenTime":"2018-05-25T20:47:11.048998Z",
"iocIngestTime":"2019-08-14T21:00:00Z",
"lastSeenTime":"2019-10-24T16:19:46.880830Z",
"sources":[
{
"category":"Spyware Reporting Server",
"confidenceScore":{
"intRawConfidenceScore":0,
"normalizedConfidenceScore":"Low"
},
"rawSeverity":"Medium",
"source":"Example List"
}
],
"uri":["URI"]
}
],
"moreDataAvailable":true
}
Mensagens de saída
A ação List IOCs fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully listed IOCs from the provided timeframe in Google
Chronicle. |
A ação foi concluída. |
Error executing action "List IOCs". Reason:
ERROR_REASON.
|
A ação falhou.
Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação List IOCs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Pesquisar alertas semelhantes
Use a ação Pesquisar alertas semelhantes para encontrar alertas parecidos no Google SecOps.
Essa ação só funciona com alertas do Google SecOps recebidos do Conector de alertas do Chronicle.
Entradas de ação
A ação Pesquisar alertas semelhantes exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Time Frame |
O período especificado para os resultados. Para ter os melhores resultados, mantenha o período o mais curto possível.
Os valores possíveis são:
|
IOCs / Assets |
Obrigatório. Uma lista separada por vírgulas de IoCs ou recursos a serem encontrados nos alertas. A ação realiza uma pesquisa separada para cada item fornecido. |
Similarity By |
Os atributos a serem usados para encontrar alertas semelhantes. Os valores possíveis são:
O valor padrão é |
Como o parâmetro "Semelhança por" funciona
O parâmetro Similarity By se aplica de maneira diferente aos alertas de regra e externos.
Se
Alert Name, Alert Type and ProductouAlert Name, Alert Typeestiver selecionado:Para alertas externos, a ação procura outros alertas externos com o mesmo nome.
Para alertas de regra, a ação processa alertas que se originaram da mesma regra.
Se
Productestiver selecionado:- A ação processa alertas originados do mesmo produto, sejam eles de regra ou externos.
Por exemplo, um alerta originado no Crowdstrike só será correspondido a outros alertas do Crowdstrike.
Se
Only IOCs/Assetsestiver selecionado:A ação corresponde aos alertas com base nos IOCs fornecidos no parâmetro
IOCs/Assets. Ele procura esses indicadores em alertas de regra e externos.Um alerta de IOC só pode executar essa ação quando essa opção é selecionada. Se qualquer outra opção for fornecida, a ação será definida como
Only IOCs/Assets.
A ação Pesquisar alertas semelhantes é uma ferramenta versátil para analisar alertas. Ele permite que os analistas correlacionem alertas do mesmo período e extraiam IOCs relevantes para determinar se um incidente é um verdadeiro positivo.
Saídas de ação
A ação Pesquisar alertas semelhantes fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Disponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação Pesquisar alertas semelhantes:
{
"count": 123,
"distinct": [
{
"first_seen": "time of the first alert that matched our conditions",
"last_seen": "time of the last alert that matched our conditions",
"product_name": "product name",
"used_ioc_asset": "what user provided in the parameter IOCs and Assets",
"name": "Alert Name/Rule Name",
"hostnames": "csv list of unique hostnames that were found in alerts",
"urls": "csv list of unique urls that were found in alerts",
"ips": "csv list of unique ips that were found in alerts",
"subjects": "csv list of unique subjects that were found in alerts",
"users": "csv list of unique users that were found in alerts",
"email_addresses": "csv list of unique email_addresses that were found in alerts",
"hashes": "csv list of unique hashes that were found in alerts",
"processes": "csv list of unique processes that were found in alerts"
"rule_urls": ["Chronicle URL from API response for Rule"]
"count": 123
}
],
"processed_alerts": 10000,
"run_time": "how long it took to run the action or at least API request",
"EXTERNAL_url": "Chronicle URL from API response for EXTERNAL"
}
Mensagens de saída
A ação Pesquisar alertas semelhantes fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Lookup Similar Alerts". Reason:
ERROR_REASON
|
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Lookup Similar Alerts". Reason: all of the
retries are exhausted. Please wait for a minute and try again.
|
A ação falhou. Aguarde um minuto antes de executar a ação novamente. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Pesquisar alertas semelhantes:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Tabela do painel de casos
Nome da tabela: IOC/ASSET_IDENTIFIER
Colunas da tabela:
- Produto
- Nomes de host
- IPs
- Usuários
- Endereços de e-mail
- Temas
- URLs
- Hashes
- Processos
- Visto pela primeira vez
- Última visualização
- Nome do alerta
- Geral
Link do Painel de Casos
A ação Pesquisar alertas semelhantes pode retornar os seguintes links:
- CBN: GENERATED_LINK_BASED_ON_IU_ROOT_URL
- Regra: GENERATED_LINK_BASED_ON_IU_ROOT_URL
Ping
Use a ação Ping para testar a conectividade com o Google SecOps.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully connected to the Google Chronicle backstory with the
provided connection parameters! |
A ação foi concluída. |
Failed to connect to the Google Chronicle backstory. Error is
ERROR_REASON
|
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Remover linhas da tabela de dados
Use a ação Remover linhas da tabela de dados para remover linhas de uma tabela de dados no Google SecOps.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Remover linhas da tabela de dados exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Data Table Name |
Obrigatório. O nome de exibição da tabela de dados a ser atualizada. |
Rows |
Obrigatório. Uma lista de objetos JSON usada para pesquisar e excluir linhas. Inclua apenas colunas válidas. O valor padrão é: |
Saídas de ação
A ação Remover linhas da tabela de dados fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Remover linhas da tabela de dados:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
Mensagens de saída
A ação Remover linhas da tabela de dados fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully removed rows from the data table
DATA_TABLE_NAME in
Google SecOps.
|
A ação foi concluída. |
Error executing action "Remove Rows From Data Table". Reason:
ERROR_REASON
|
A ação falhou.
Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Remover linhas da tabela de dados:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Remover valores da lista de referência
Use a ação Remover valores da lista de referência para remover valores de uma lista de referência no Google SecOps.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Remover valores da lista de referência exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Reference List Name |
Obrigatório. O nome da lista de referência a ser atualizada. |
Values |
Obrigatório. Uma lista de valores separados por vírgulas a serem removidos da lista de referência. |
Saídas de ação
A ação Remover valores da lista de referência fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir descreve a saída do resultado JSON recebida ao usar a ação Remover valores da lista de referência com a API Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
O exemplo a seguir descreve a saída de resultado JSON recebida ao usar a ação Remover valores da lista de referência com a API Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/<var class="readonly">REFERENCE_LIST_NAME</var>' }}",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Mensagens de saída
A ação Remover valores da lista de referência fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Successfully removed values from the reference list.
|
A ação foi concluída. |
Error executing action "Remove Values From Reference List". Reason:
ERROR_REASON
|
A ação falhou.
Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Remover valores da lista de referência:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conectores
Para mais detalhes sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
Google Chronicle: conector de alertas do Chronicle
Use o Google Chronicle - conector de alertas do Chronicle para extrair informações sobre alertas baseados em regras do SIEM do Google SecOps.
Esse conector pode ser filtrado usando uma lista dinâmica.
Visão geral
O Google Chronicle - conector de alertas do Chronicle ingere vários tipos de alertas do SIEM do Google SecOps.
Os principais recursos e detalhes operacionais incluem:
Ela consulta dados em um período de uma semana.
Para evitar alertas perdidos devido a atrasos na indexação, é possível configurar um período de padding e aumentar o tempo limite do conector, mas um padding significativo pode afetar negativamente o desempenho.
O conector usa listas dinâmicas para uma configuração flexível.
Ele fornece um
Fallback Severitypara alertas que não têm um valor de gravidade.Para ingerir IoCs, é necessário criar uma regra de detecção correspondente no SIEM do Google SecOps, que gera alertas com base nos IoCs.
Filtro de lista dinâmica
A lista dinâmica é usada para filtrar alertas diretamente na página de configuração do conector.
Lógica do operador
A lista dinâmica usa uma combinação de lógica AND e OR para processar regras de filtro:
Lógica OR: valores na mesma linha, separados por uma vírgula, são tratados com a lógica OR (por exemplo,
Rule.severity = low,mediumsignifica gravidadelowOUmedium).Lógica AND: cada linha separada na lista dinâmica é tratada com a lógica AND. Por exemplo, uma linha para
Rule.severitye uma linha paraRule.ruleNamesignificamseverityANDruleName.Os operadores compatíveis (
=,!=,>,<,>=,<=) variam de acordo com a chave de filtro.
Confira exemplos de uso de regras de operador:
- Rule.severity = medium: o conector ingere apenas alertas de regras com gravidade média.
- Rule.severity = low,medium: o conector ingere apenas alertas de regra com gravidade média ou baixa.
- Rule.ruleName = default_rule: o conector só ingere alertas de regra
com o nome
default_rule.
Filtros compatíveis
O conector de alertas do Chronicle permite filtrar as seguintes chaves:
| Chave de filtro | Chave de resposta | Operadores | Valores possíveis |
|---|---|---|---|
Rule.severity |
detection, ruleLabels ou severity |
=, !=, >, <,
>=, <= |
Os valores não diferenciam maiúsculas de minúsculas. |
Rule.ruleName |
detection ou ruleName |
=, != |
Definido pelo usuário. |
Rule.ruleID |
detection ou ruleId |
=, != |
Definido pelo usuário. |
Rule.ruleLabels.{key} |
detection ou ruleLabels |
=, != |
Definido pelo usuário. |
Manuseio ruleLabels
Para filtrar um rótulo específico em uma regra, use o formato Rule.ruleLabels.{key}.
Por exemplo, para filtrar um rótulo com a chave type e o valor suspicious_behaviour, a entrada da lista dinâmica precisa ser:
Rule.ruleLabels.type=suspicious_behaviour
Entradas do conector
O conector de alertas do Chronicle exige os seguintes parâmetros:
O valor padrão é Medium.
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). |
Environment Field Name |
Opcional. O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão. O valor padrão é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. O valor padrão é |
API Root |
Obrigatório. A raiz da API da instância do SIEM do Google SecOps. O Google SecOps fornece endpoints regionais para cada API. Por exemplo, Entre em contato com o Cloud Customer Care para saber qual endpoint usar. O valor padrão é |
User's Service Account |
Obrigatório. O conteúdo JSON completo da conta de serviço usada para autenticação. |
Fallback Severity |
Obrigatório. A gravidade padrão a ser usada se o alerta do SIEM do Google SecOps não incluir um valor de gravidade. Os valores possíveis são os seguintes:
|
Max Hours Backwards |
Opcional. O número de horas antes da execução inicial do conector para recuperar incidentes. Esse parâmetro é aplicado apenas uma vez. O valor máximo é O valor padrão é |
Max Alerts To Fetch |
Opcional. O número de alertas a serem processados em cada iteração do conector. O valor padrão é |
Disable Event Splitting |
Opcional. Se selecionado, o conector não divide os eventos originais em várias partes, garantindo que a contagem de eventos corresponda entre a origem e o SOAR do Google SecOps. Não ativado por padrão. |
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do Google SecOps SIEM. Ativado por padrão. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional. O nome de usuário do proxy para autenticação. |
Proxy Password |
Opcional. A senha do proxy para autenticação. |
Disable Overflow |
Opcional. Se selecionado, o conector ignora o mecanismo de estouro do Google SecOps. Não ativado por padrão. |
Regras do conector
O Google Chronicle - conector de alertas do Chronicle é compatível com proxies.
Eventos do conector
O Google Chronicle - Conector de alertas do Chronicle processa três tipos de eventos do SIEM do Google SecOps.
Alertas baseados em regras
Esse tipo de evento é gerado por uma regra de detecção no SIEM do Google SecOps.
{
"alert_type": "RULE",
"event_type": "NETWORK_DHCP",
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "d3_test",
"urlBackToProduct": "https://INSTANCE/ruleDetections?ruleId=ru_74dd17e2-5aad-4053-acd7-958bead014f2&selectedList=RuleDetectionsViewTimeline&selectedParentDetectionId=de_b5dadaf4-b398-325f-9f09-833b71b3ffbb&selectedTimestamp=2022-02-08T05:02:36Z&versionTimestamp=2020-11-19T18:19:11.951951Z",
"ruleId": "ru_74dd17e2-5aad-4053-acd7-958bead014f2",
"ruleVersion": "ru_74dd17e2-5aad-4053-acd7-958bead014f2@v_1605809951_951951000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT",
"ruleLabels": [
{
"key": "author",
"value": "analyst123"
},
{
"key": "description",
"value": "8:00 AM local time"
},
{
"key": "severity",
"value": "Medium"
}
]
}
],
"createdTime": "2022-02-08T06:07:33.944951Z",
"id": "de_b5dadaf4-b398-325f-9f09-833b71b3ffbb",
"timeWindow": {
"startTime": "2022-02-08T05:02:36Z",
"endTime": "2022-02-08T05:02:36Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2022-02-08T05:02:36Z",
"eventType": "NETWORK_DHCP",
"productName": "Infoblox DHCP",
"ingestedTimestamp": "2022-02-08T05:03:03.892234Z"
},
"principal": {
"ip": [
"198.51.100.255",
"198.51.100.1"
],
"mac": [
"01:23:45:ab:cd:ef"
],
"email_address": [
"example@example.com"
]
},
"target": {
"hostname": "dhcp_server",
"ip": [
"198.51.100.0",
"198.51.100.1"
]
},
"network": {
"applicationProtocol": "DHCP",
"dhcp": {
"opcode": "BOOTREQUEST",
"ciaddr": "198.51.100.255",
"giaddr": "198.51.100.0",
"chaddr": "01:23:45:ab:cd:ef",
"type": "REQUEST",
"clientHostname": "example-user-pc",
"clientIdentifier": "AFm/LDfjAw=="
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2022-02-08T05:02:36Z"
}
Alertas externos
Esse tipo de evento é baseado em um alerta externo ingerido no SIEM do Google SecOps.
{
"alert_type": "External",
"event_type": "GENERIC_EVENT",
"name": "Authentication failure [32038]",
"sourceProduct": "Internal Alert",
"severity": "Medium",
"timestamp": "2020-09-30T18:03:34.898194Z",
"rawLog": "U2VwIDMwIDE4OjAzOjM0Ljg5ODE5NCAxMC4wLjI5LjEwOSBBdXRoZW50aWNhdGlvbiBmYWlsdXJlIFszMjAzOF0=",
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=198.51.100.109&namespace=[untagged]&referenceTime=2020-09-30T18%3A03%3A34.898194Z&selectedList=AssetViewTimeline&startTime=2020-09-30T17%3A58%3A34.898194Z&endTime=2020-09-30T18%3A08%3A34.898194Z&selectedAlert=-610875602&selectedEventTimestamp=2020-09-30T18%3A03%3A34.898194Z"
],
"event": {
"metadata": {
"eventTimestamp": "2020-09-30T18:03:34.898194Z",
"eventType": "GENERIC_EVENT",
"productName": "Chronicle Internal",
"ingestedTimestamp": "2020-09-30T18:03:34.991592Z"
},
"target": [
{
"ip": [
"198.51.100.255",
"198.51.100.1"
]
}
],
"securityResult": [
{
"summary": "Authentication failure [32038]",
"severityDetails": "Medium"
}
]
}
}
Alertas de IoC
Esse tipo de evento corresponde a uma lista predefinida de IoCs.
{
"alert_type": "IOC",
"event_type": "IOC Alert",
"artifact": {
"domainName": "example.com"
},
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2020-09-07T11:00:00Z",
"firstSeenTime": "2018-10-03T00:01:59Z",
"lastSeenTime": "2022-02-04T20:02:29.191Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-08T15%3A08%3A52.434022777Z"
]
}
Estrutura de alertas
A tabela a seguir descreve como o Google Chronicle: conector de alertas do Chronicle preenche os atributos de um alerta no Google SecOps. Para facilitar a compreensão, os atributos de alerta são agrupados por origem e tipo de alerta.
Atributos gerados internamente
Esses atributos são gerados pelo framework e são consistentes em todos os tipos de alerta.
| Nome do atributo do alerta | Origem |
|---|---|
SourceSystemName |
Gerado internamente pelo framework. |
TicketId |
O valor é extraído do arquivo ids.json. |
DisplayId |
Gerada automaticamente. |
Atributos para todos os tipos de alerta
Esses atributos são derivados do alerta de origem, mas a chave de origem varia de acordo com o tipo de alerta.
| Nome do atributo do alerta | Origem |
|---|---|
Priority |
Extraído da resposta da API ou do parâmetro Fallback Severity. |
DeviceVendor |
O valor codificado é Google Chronicle. |
DeviceProduct |
Um valor codificado que depende do tipo de alerta: RULE para alertas de detecção de regra, IOC para correspondências de IOC ou EXTERNAL para alertas externos. |
Description |
Para alertas baseados em regras, essa informação é extraída de
detection/ruleLabels/description (se existir). Não disponível para outros tipos de alerta. |
Reason |
Indisponível. |
SourceGroupingIdentifier |
Indisponível. |
Chronicle Alert - Attachments |
Indisponível. |
Tipos de alerta específicos
Esses atributos são específicos da origem do alerta, facilitando a compreensão de como cada um é preenchido.
| Nome do atributo do alerta | Alertas baseados em regras | Alertas baseados em IOCs | Alertas externos |
|---|---|---|---|
Name |
detection/ruleName |
IOC Alert (codificado) |
alertInfos/name |
RuleGenerator |
detection/ruleName |
IOC Alert (codificado) |
alertInfos/name |
StartTime e EndTime |
timeWindow ou startTime |
lastSeenTime |
timestamp |
Chronicle Alert - Extensions |
rule_id (ruleId), product_name (CSV de um evento ou metadados ou um valor productName) |
Não relevante | alert_name (name), product_name (CSV de um evento ou metadados do UDM ou um valor productName) |
Descontinuado: conector de alertas do Google Chronicle
Esse conector extrai alertas de recursos do Google SecOps SIEM e os converte em alertas do Google SecOps SIEM.
É possível fazer a autenticação usando a
biblioteca do Google com
google.oauth2.service_account e AuthorizedSession.
Esse conector exige a API SIEM Search do Google SecOps.
Entradas do conector
O
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório.
O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
Environment Field Name |
Opcional. O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão. O valor padrão é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. O valor padrão é |
Service Account Credentials |
Obrigatório. O conteúdo do arquivo JSON da conta de serviço. |
Fetch Max Hours Backwards |
Opcional. O número de horas antes da execução inicial do conector para recuperar incidentes. Esse parâmetro é aplicado apenas uma vez. O valor máximo é O valor padrão é |
Descontinuado: conector de IoCs do Google Chronicle
Use o conector de alertas do Chronicle.
Esse conector extrai as correspondências de domínio de IOC do Google SecOps SIEM e as converte em alertas do Google SecOps SIEM.
É possível fazer a autenticação usando a
biblioteca do Google com
google.oauth2.service_account e AuthorizedSession.
Esse conector usa a API Google SecOps SIEM Search.
Entradas do conector
O conector do Google Chronicle - IoCs exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório.
O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
Environment Field Name |
Opcional. O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão. O valor padrão é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. O valor padrão é |
Service Account Credentials |
Obrigatório. O conteúdo do arquivo JSON da conta de serviço. |
Fetch Max Hours Backwards |
Opcional. O número de horas antes da execução inicial do conector para recuperar alertas. Esse parâmetro é aplicado apenas uma vez. O valor máximo é O valor padrão é |
Max Alerts To Fetch |
Opcional. O número máximo de alertas a serem processados em cada iteração do conector. O valor padrão é |
| Campo monitorado | Campo sincronizado |
|---|---|
Priority |
Priority |
Status |
Status |
Title |
Title |
| Não relevante | Stage |
| Não relevante | Google SecOps Case ID |
| Não relevante | Google SecOps Case ID |
O ID do caso do Google SecOps é um identificador exclusivo no Google SecOps SOAR e no Google SecOps SIEM.
O job Google Chronicle Sync Data rastreia e sincroniza os seguintes campos para alertas:
| Campo monitorado | Campo sincronizado |
|---|---|
Priority |
Priority |
Status |
Status |
Case ID |
Não relevante |
| Não relevante | Google SecOps Alert ID |
| Não relevante | Google SecOps Case ID |
| Não relevante | Verdict |
| Não relevante | Closure Comment |
| Não relevante | Closure Reason |
| Não relevante | Closure Root Cause |
| Não relevante | Usefulness |
O ID de alerta do Google SecOps é um identificador exclusivo de alerta no Google SecOps SOAR.
Em uma iteração, o job sincroniza até 1.000 casos e 1.000 alertas. A sincronização ocorre no ambiente do Google SecOps SOAR especificado na configuração do job. O mecanismo de sincronização garante que um caso do ambiente especificado não possa ser sincronizado com outro ambiente.
Configurar o job de dados do Google Chronicle Sync
Esse job sincroniza apenas os casos do SOAR do Google SecOps que foram ingeridos do SIEM do Google SecOps.
Verifique se você concluiu as etapas de pré-requisito antes de configurar o job.
Para configurar o job Google Chronicle Sync Data, siga estas etapas:
Na seção Parâmetros, configure o seguinte:
Parâmetro Descrição EnvironmentObrigatório.
O nome do ambiente criado no Google SecOps SOAR em que você quer sincronizar casos e alertas.
API RootObrigatório.
A raiz da API da instância do SIEM do Google SecOps.
O Google SecOps oferece endpoints regionais para cada API.
Por exemplo,
https://europe-backstory.googleapis.comouhttps://asia-southeast1-backstory.googleapis.com.Se você não souber qual endpoint usar, [entre em contato com Cloud Customer Care](/chronicle/docs/getting-support).
O valor padrão é
https://backstory.googleapis.com.User's Service AccountObrigatório.
O conteúdo do arquivo JSON da conta de serviço da sua instância do Google SecOps SIEM.
Max Hours BackwardsOpcional.
O número de horas para buscar alertas. Use apenas números positivos. Se você inserir 0 ou um número negativo, um erro será informado. Se esse parâmetro estiver vazio, o job vai usar o valor padrão.
O valor padrão é
24.Verify SSLObrigatório.
Se selecionado, o Google SecOps verifica se o certificado SSL para conexão com o servidor SIEM do Google SecOps é válido. Recomendamos que você selecione essa opção.
Essa opção é selecionada por padrão.
O job Google Chronicle Sync Data está ativado por padrão. Quando você salva o job configurado corretamente, ele começa a sincronizar dados com o SIEM do Google SecOps imediatamente. Para desativar o job, mude o botão ao lado do nome dele.
Para concluir a configuração, clique em Salvar.
Se o botão Salvar estiver inativo, verifique se você definiu todos os parâmetros obrigatórios.
Opcional: para executar o job imediatamente após salvar, clique em Executar agora.
A opção Executar agora permite acionar uma única execução de job que sincroniza os alertas e dados de casos atuais do Google SecOps SOAR com o Google SecOps SIEM.
Mensagens de registro
A tabela a seguir lista possíveis mensagens de registro do job Sincronização de dados do Google Chronicle:
| Entrada de registro | Tipo | Descrição |
|---|---|---|
Unable to parse credentials as JSON. Please validate creds.
|
Erro | A conta de serviço fornecida no parâmetro User's Service Account está corrompida. |
"Max Hours Backwards" parameter must be a positive number. |
Erro | O parâmetro Max Hours backwards está definido como 0 ou um número negativo. |
Current platform version does not support SDK methods designed for
Google SecOps. Please use version 6.1.33 or higher. |
Erro | A versão atual da instância da plataforma Google SecOps não é compatível com a execução do script de job do Chronicle Sync Data. Isso significa que a versão de build da instância é anterior à 6.1.33. |
Unable to connect to Google SecOps, please validate
your credentials: CREDENTIALS |
Erro | Não foi possível validar a conta de serviço ou os valores raiz da API na instância do Google SecOps SIEM. Esse erro é informado se o teste de conectividade falhar. |
--- Start Processing Updated Cases --- |
Informações | O loop de processamento de caso começou a ser executado. |
Last success time. Date time:DATE_AND_TIME.
Unix:UNIX_EPOCH_TIME
|
Informações | O carimbo de data/hora da última execução de script bem-sucedida para casos ou alertas:
|
Key: "DATABASE_KEY" does not exist in the
database. Returning default
value instead: DEFAULT_VALUE |
Informações | A chave do banco de dados de alerta ou caso pendente não existe no banco de dados. Essa entrada de registro sempre aparece na primeira execução do script. |
Failed to parse data as JSON. Returning default value instead:
"DEFAULT_VALUE. ERROR:
ERROR |
Erro | O valor recuperado do banco de dados não está em um formato JSON válido. |
Exception was raised from the database. ERROR:
ERROR. |
Erro | Há um problema de conexão com o banco de dados. |
|
Informações | Os IDs de casos ou alertas pendentes foram recuperados do backlog. CASE_IDS é o número de IDs de caso trazidos. |
|
Erro | O número de casos pendentes ou IDs de alertas buscados no banco de dados é maior que o limite (1.000). Os IDs que excederem o limite serão ignorados. Esse erro pode indicar uma possível corrupção do banco de dados. |
|
Informações | Os IDs de caso ou alerta recém-atualizados foram buscados na plataforma. |
|
Informações | A atualização de casos e alertas na instância do Google SecOps SIEM começou. |
|
Erro | O caso ou alerta especificado não pode ser sincronizado com o SIEM do Google SecOps. |
|
Informações | O caso ou alerta pendente especificado atingiu o limite de novas tentativas de sincronização (5) e não foi inserido novamente no backlog. |
|
Informações | A lista de IDs de caso ou alerta que não podem ser sincronizados com o SIEM do Google SecOps. |
Updated External Case IDs for the following cases:
CASE_IDS |
Informações | A lista de casos em que o job atualizou o ID externo do caso do SIEM do Google SecOps correspondente na plataforma SOAR do Google SecOps. |
Failed to update external ids. |
Erro | A entrada de registro que indica um problema com o método ou a conexão do SDK que impediu a atualização dos IDs de caso externos na plataforma. |
|
Erro | A entrada de registro que indica que houve um determinado erro de encerramento que impediu que o loop de processamento de casos ou alertas terminasse naturalmente. O rastreamento de pilha é impresso após esse registro com o erro específico. |
|
Informações | O loop de processamento de casos e alertas foi concluído, naturalmente ou com um erro. |
|
Erro | A lista de IDs de casos ou alertas com falha que têm uma contagem de novas tentativas menor ou igual a 5 para serem gravados novamente no backlog. |
|
Informações | A etapa de processamento do caso e do alerta foi concluída. |
Saving timestamps. |
Informações | Salvar os carimbos de data/hora da última atualização de caso e alerta bem-sucedida no banco de dados. |
Saving pending ids. |
Informações | Salvar IDs de casos e alertas pendentes no banco de dados. |
Got exception on main handler. Error:
ERROR_REASON |
Erro | Ocorreu um erro geral de encerramento. O rastreamento de pilha é impresso depois desse registro com o erro específico. |
Trabalho de criador de alertas do Google Chronicle
O job Google Chronicle Alerts Creator exige a plataforma Google SecOps versão 6.2.30 ou mais recente.
Esse job cria todos os alertas do Google SecOps SOAR para o Google SecOps SIEM, incluindo alertas de estouro. O job Google Chronicle Alerts Creator não replica alertas originados no Google SecOps.
O job Google Chronicle Alerts Creator consulta a plataforma SOAR usando o SDK Python para alertas não sincronizados. O job envia alertas não sincronizados para o SIEM individualmente. O SIEM atualiza e retorna os identificadores dos alertas correspondentes do SIEM, e o SOAR salva os identificadores usando a API da plataforma SOAR pelo SDK do Python.
Relação entre os jobs do Google Chronicle
Um sistema completo do Google SecOps executa os três componentes a seguir simultaneamente:
- Conector de alertas do Chronicle
- Job Google Chronicle Sync Data
- Trabalho do Google Chronicle Alerts Creator
O job Google Chronicle Sync Data cria e sincroniza casos. Ele também sincroniza as modificações de caso e alerta, como mudanças de prioridade.
O job Google Chronicle Alerts Creator gera todos os alertas, exceto os do SIEM. O job Google Chronicle Sync Data envia atualizações sobre alertas não sincronizados depois que o job Google Chronicle Alerts Creator cria os alertas.
Sincronização de dados de casos e alertas
Os casos são sincronizados da mesma forma que com o job de dados do Google Chronicle Sync.
No Google SecOps SIEM, cada alerta é identificado com um identificador de alerta do SIEM. Os alertas de SOAR podem adotar um identificador de SIEM em dois cenários:
O alerta é gerado no SIEM.
Esse alerta já existe no SIEM do Google SecOps e não precisa ser duplicado. O conector preenche o campo
siem_alert_id.O alerta é gerado em conectores de terceiros.
Esse alerta não existe no Google SecOps SIEM e exige a execução de uma operação de sincronização explícita, que é de responsabilidade do job Google Chronicle Alerts Creator. Ao concluir a operação de sincronização, o alerta vai receber um novo identificador de SIEM.
Configurar o job do criador de alertas do Google Chronicle
Verifique se você concluiu as etapas de pré-requisito antes de configurar o job.
Para configurar o job Google Chronicle Alerts Creator, siga estas etapas:
Configure os parâmetros do job na tabela a seguir:
Parâmetro Descrição EnvironmentObrigatório.
O nome do ambiente criado no Google SecOps SOAR em que você quer sincronizar casos e alertas.
API RootObrigatório.
A raiz da API da instância do SIEM do Google SecOps.
O Google SecOps oferece endpoints regionais para cada API.
Por exemplo,
https://europe-backstory.googleapis.comouhttps://asia-southeast1-backstory.googleapis.com.Se você não souber qual endpoint usar, [entre em contato com Cloud Customer Care](/chronicle/docs/getting-support).
O valor padrão é
https://backstory.googleapis.com.User's Service AccountObrigatório.
O conteúdo do arquivo JSON da conta de serviço da sua instância do Google SecOps SIEM.
Verify SSLObrigatório.
Se selecionado, o Google SecOps verifica se o certificado SSL para conexão com o servidor SIEM do Google SecOps é válido. Recomendamos que você selecione essa opção.
Essa opção é selecionada por padrão.
Para concluir a configuração, clique em Salvar.
Se o botão Salvar estiver inativo, verifique se você definiu todos os parâmetros obrigatórios.
Opcional: para executar o job imediatamente após salvar, clique em Executar agora.
A opção Executar agora permite acionar uma única execução de job que sincroniza os alertas e dados de casos atuais do Google SecOps SOAR com o Google SecOps SIEM.
Mensagens de registro e tratamento de erros
| Registro | Nível | Descrição |
|---|---|---|
|
ERRO | A conta de serviço fornecida no parâmetro "Conta de serviço do usuário" está corrompida. |
|
ERRO | A versão atual da instância da plataforma Google SecOps não é compatível com a execução do script do trabalho do criador de alertas do Google Chronicle. Esse erro significa que a versão de build da instância é anterior à 6.2.30. |
|
ERRO | Não é possível validar a conta de serviço ou os valores da raiz da API na instância do Google SecOps SIEM. Esse erro é informado se o teste de conectividade falhar. |
|
INFORMAÇÕES | Mensagem de registro indicando que o job foi iniciado. |
|
INFORMAÇÕES | Mensagem de registro indicando que a função principal foi iniciada. |
|
INFORMAÇÕES | Mensagem de registro que indica o número da iteração da tentativa consecutiva atual. |
|
INFORMAÇÕES | Mensagem de registro indicando que o código não recupera mais de BATCH_SIZE novos alertas do SOAR. |
|
INFORMAÇÕES | Mensagem de registro indicando que os alertas do SOAR NUMBER_OF_NEW_ALERTS foram buscados. |
|
INFORMAÇÕES | Mensagem de registro indicando que nenhum novo alerta do SOAR foi encontrado e que o job está sendo interrompido. |
|
INFORMAÇÕES | Mensagem de registro indicando que o job buscou os alertas do SOAR com os seguintes identificadores na lista de ID. Use essas informações para acompanhar o progresso do job e resolver problemas com o código. |
|
INFORMAÇÕES | Mensagem de registro indicando que o job está enviando alertas do SOAR para o SIEM. |
|
ERRO | Mensagem de registro que indica que o alerta não foi criado no SIEM devido a um erro. |
|
INFORMAÇÕES | Mensagem de registro indicando que o job está atualizando o SOAR com a resposta do SIEM. |
|
AVISO | Indica que o SOAR não conseguiu atualizar o status da sincronização de alertas. |
|
INFORMAÇÕES | Mensagem de registro indicando que um total de total_synced alertas
foram sincronizados na execução atual. |
|
INFORMAÇÕES | Mensagem de registro indicando que o job foi concluído. |
|
ERRO | Mensagem de registro indicando que ocorreu uma exceção na função principal. A mensagem de exceção é incluída na mensagem de registro. |
Casos de uso
Com a integração do Google Chronicle, é possível executar os seguintes casos de uso:
- Investigação e resposta a ameaças do Windows no Chronicle
- Security Command Center e Chronicle Cloud DIR
Instalar o caso de uso
No Google SecOps Marketplace, acesse a guia Casos de uso.
Em um campo de pesquisa, digite o nome do caso de uso.
Clique no caso de uso.
Siga as etapas e instruções de configuração no assistente de instalação.
Depois de concluir, todos os componentes necessários serão instalados na sua máquina do Google SecOps. Para finalizar a instalação, configure o bloco Inicialização no playbook que corresponde ao seu caso de uso.
Investigação e resposta a ameaças do Windows no Chronicle
Use o poder do Google SecOps para responder em tempo real a ameaças do Windows no seu ambiente. Com a Threat Intelligence para Google SecOps, as equipes de segurança podem aproveitar um serviço de inteligência contra ameaças de alta fidelidade junto com o Google SecOps. Agora, as ameaças reais no seu ambiente podem ser classificadas e corrigidas automaticamente em um período curto e eficaz.
No Google SecOps, acesse Resposta > Playbooks.
Selecione o playbook Google Chronicle: investigação e resposta a ameaças do Windows. O playbook é aberto na visualização do designer de playbook.
Clique duas vezes em Definir bloco de inicialização_1. A caixa de diálogo de configuração do bloco é aberta.
Para configurar o playbook, use os seguintes parâmetros:
Parâmetro de entrada Valores possíveis Descrição edr_product- CrowdStrike
- Carbon Black
- Nenhum
O produto de EDR a ser usado no playbook. itsm_product- Service Now
- Jira
- ZenDesk
- Nenhum
O produto de ITSM a ser usado no playbook. O Jira requer configuração adicional no bloco "Abrir tíquete". crowdstrike_use_spotlightTrueouFalseSe True, o playbook vai executar ações do Crowdstrike que exigem uma licença do Spotlight (informações de vulnerabilidade).use_mandiantTrueouFalseSe for True, o playbook vai executar o bloco da Mandiant.slack_userNome de usuário ou endereço de e-mail O nome de usuário ou endereço de e-mail do usuário do Slack. Se nenhum for fornecido, o playbook vai pular os blocos do Slack. Clique em Salvar. A caixa de diálogo de configuração do bloco é fechada.
No painel do designer de playbook, clique em Salvar.
Para testar o playbook no caso de uso, ingira o caso de teste incluído no pacote. Alguns recursos de caso de teste podem falhar porque os dados usados para teste não estão disponíveis no seu ambiente.
Security Command Center e Chronicle Cloud DIR
Integre o Security Command Center ao SIEM do Google SecOps para que seus analistas investiguem incidentes e ameaças detectados pelo Security Command Center.
Configurar o caso de uso
O caso de uso exige que você configure as seguintes integrações:
- Siemplify
- Ferramentas
- Mitre ATT&CK
- Google Cloud IAM
- Google Chronicle
- Funções
- Computação do Google Cloud
- E-mail V2
- VirusTotal v3
As integrações do Google Security Command Center e do Mandiant são opcionais.
Verifique se você instalou o caso de uso antes de configurá-lo.
- No Google SecOps, acesse a guia Playbooks.
- Selecione o playbook SCC e Chronicle Cloud DIR.
- Clique duas vezes no bloco de inicialização para configurá-lo.
- Configure o manual usando os seguintes parâmetros:
| Nome do parâmetro | Valores possíveis | Descrição |
|---|---|---|
Mandiant_Enrichment |
True ou False |
Se A integração do Mandiant precisa ser configurada para essa configuração. Você pode remover o enriquecimento se raramente receber informações significativas. A remoção do bloco de enriquecimento melhora a velocidade de execução do playbook. |
SCC_Enrichment |
True ou False |
Se A integração do Security Command Center precisa ser configurada para essa configuração. Você pode remover o enriquecimento se raramente receber informações relevantes. Remover o bloco de enriquecimento melhora a velocidade de execução do playbook. |
IAM_Enrichment |
True ou False |
Se for True, o playbook usará os recursos do IAM
para mais enriquecimento. Você pode remover o enriquecimento se raramente receber informações significativas. Remover o bloco de enriquecimento melhora a velocidade de execução do playbook. |
Compute_Enrichment |
True ou False |
Se True, o playbook usará recursos do Compute Engine
para enriquecimento adicional. Você pode remover o enriquecimento se raramente receber informações relevantes. Remover o bloco de enriquecimento melhora a velocidade de execução do playbook. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.