Google Chronicle in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie Google Chronicle in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 64.0
Anwendungsfälle
Die Google Chronicle-Integration kann für die folgenden Anwendungsfälle verwendet werden:
Automatisierte Phishing-Untersuchung und ‑Abhilfe:Mit den SOAR-Funktionen von Google SecOps können Sie automatisch historische E‑Mail-Daten, Protokolle zu Nutzeraktivitäten und Informationen zu Bedrohungen abfragen, um die Rechtmäßigkeit von E‑Mails zu bewerten. Die automatische Abhilfe kann Ihnen bei der Triage und Eindämmung helfen, indem sie die Verbreitung von Malware oder Datenpannen verhindert.
Anreicherung von Sicherheitswarnungen:Mit den SOAR-Funktionen von Google SecOps können Sie eine in einem SIEM generierte Warnung mit Verlaufsdaten wie dem bisherigen Nutzerverhalten und Asset-Informationen anreichern. So erhalten Analysten einen umfassenden Überblick über einen Vorfall, was eine schnellere und fundiertere Entscheidungsfindung ermöglicht.
Bedrohungssuche auf Grundlage von Google SecOps-Erkenntnissen:Nutzen Sie die SOAR-Funktionen von Google SecOps, um den Prozess der Abfrage anderer Sicherheitstools nach zugehörigen Indikatoren für Kompromittierung (Indicators of Compromise, IOCs) zu automatisieren. So können Sie potenzielle Sicherheitsverletzungen proaktiv erkennen, bevor sie eskalieren.
Automatisierte Playbooks für die Incident Response:Mit den SOAR-Funktionen von Google SecOps können Sie vordefinierte Playbooks auslösen, die Google SecOps-Daten verwenden, um kompromittierte Systeme zu isolieren, schädliche IP-Adressen zu blockieren und relevante Stakeholder zu benachrichtigen. So können Sie die Reaktionszeit bei Vorfällen verkürzen und die Auswirkungen von Sicherheitsvorfällen minimieren.
Compliance-Berichte und ‑Prüfung:Mit den SOAR-Funktionen von Google SecOps können Sie die Erhebung von Sicherheitsdaten aus Google SecOps für Compliance-Berichte automatisieren, den Prüfungsprozess optimieren und den manuellen Aufwand reduzieren.
Hinweise
Bevor Sie die Google Chronicle-Integration in Google SecOps konfigurieren, müssen Sie Zugriff auf ein aktivesGoogle Cloud -Projekt haben.
Migration von der Backstory API zur Chronicle API
Einige neue Funktionen und Aktionen in dieser Integration unterstützen nur die Chronicle API. Wir empfehlen daher dringend, dass alle Nutzer ihre Bereitstellung migrieren, um die Anmeldedaten der Chronicle API zu verwenden.
Chronicle API-Root finden
Wenn Sie auf die Chronicle API zugreifen, müssen Sie die eindeutige API Root Ihrer Umgebung für die Integrationskonfiguration ermitteln.
Öffnen Sie die Entwicklertools Ihres Browsers und rufen Sie die Google SecOps-Plattform auf.
Wählen Sie Untersuchung > Datentabellen aus.
Rufen Sie in den Entwicklertools den Tab Netzwerk auf und klicken Sie in der Spalte „Name“ auf ein Element, z. B.
dataTables?pageSize=1000.Wählen Sie im Detailbereich Header aus und kopieren Sie den Wert von
Request URLunter Allgemein. Schließen Sie dabei den Endpunkt und alle Abfrageparameter (den Namen des ausgewählten Elements) aus.Wenn der Wert beispielsweise
https://us-chronicle.googleapis.com/v1alpha/projects/{project}/locations/{location}/instances/{instance}/dataTables?pageSize=1000ist, wird/dataTables?pageSize=1000aus dem API-Stammverzeichnis ausgeschlossen und das API-Stammverzeichnis isthttps://us-chronicle.googleapis.com/v1alpha/projects/{project}/locations/{location}/instances/{instance}.
Anforderungen an Anmeldedaten für die Chronicle API
Für den Zugriff auf die Chronicle API sind sowohl ein neuer API-Root als auch neue Anmeldedaten erforderlich. Diese hängen davon ab, wie Ihr zugrunde liegendes Google Cloud -Projekt verwaltet wird:
| Projekttyp | Anforderung an Anmeldedaten |
|---|---|
| Unified SecOps-Bereitstellung: Von Google verwaltetes Projekt (Standard) | Wenden Sie sich an den Google-Support, um die erforderlichen verborgenen Anmeldedaten bereitzustellen und Berechtigungen für Ihre Umgebung zu gewähren. |
| Eigenständige SOAR-Bereitstellung: Bring Your Own Project (BYOP) | Sie müssen ein dediziertes Dienstkonto in Ihrem Projekt manuell konfigurieren. Verwenden Sie dazu entweder einen JSON-Schlüssel oder eine Workload Identity und weisen Sie die Rolle Chronicle API Editor zu. |
Authentifizierung mit einem JSON-Schlüssel für ein Dienstkonto
Die Authentifizierung mit einem JSON-Schlüssel für Dienstkonten wird für die Chronicle API unterstützt und ist für BYOP-Nutzer, die Workload Identity nicht auswählen, obligatorisch.
Dediziertes Dienstkonto und JSON-Schlüssel erstellen
Wenn Sie die Authentifizierung mit einem JSON-Schlüssel für ein Dienstkonto verwenden möchten, führen Sie die folgenden Schritte aus, um den JSON-Schlüssel zu erstellen:
Wechseln Sie in der Google Cloud Console zu IAM & Verwaltung > Dienstkonten.
Wählen Sie Dienstkonto erstellen aus und folgen Sie der Anleitung.
Wählen Sie die E-Mail-Adresse des neuen Dienstkontos aus und rufen Sie Schlüssel > Schlüssel hinzufügen > Neuen Schlüssel erstellen auf.
Wählen Sie als Schlüsseltyp
JSONaus und klicken Sie auf Erstellen. Eine JSON-Schlüsseldatei wird auf Ihren Computer heruntergeladen.
Chronicle API: Rolle, die für Ihr Dienstkonto erforderlich ist
Wenn Sie die Chronicle API verwenden, benötigt Ihr Dienstkonto die Rolle Chronicle API Editor.
Rufen Sie in der Google Cloud Console die Seite APIs und Dienste > Anmeldedaten auf.
Wählen Sie unter Dienstkonten Ihr Dienstkonto aus und klicken Sie auf Berechtigungen > Zugriff verwalten.
Klicken Sie auf HinzufügenRolle hinzufügen und wählen Sie die Rolle
Chronicle API Editoraus. Klicken Sie auf Speichern.
Authentifizierung mit einer Workload Identity (empfohlen)
Die Authentifizierung mit einer Workload Identity ist die empfohlene und sicherste Methode.
So richten Sie die Authentifizierung mit einer Workload Identity ein:
Dienstkonto erstellen
So erstellen Sie ein Dienstkonto:
Rufen Sie in der Google Cloud Console die Seite Anmeldedaten auf.
Wählen Sie im Menü Anmeldedaten erstellen die Option Dienstkonto aus.
Geben Sie unter Dienstkontodetails einen Namen in das Feld Name des Dienstkontos ein.
Optional: Bearbeiten Sie die ID des Dienstkontos.
Klicken Sie auf Erstellen und fortfahren. Der Bildschirm Berechtigungen wird angezeigt.
Klicken Sie auf Weiter. Der Bildschirm Hauptkonten mit Zugriff wird angezeigt.
Klicken Sie auf Fertig.
Chronicle API: Rolle, die für Ihr Dienstkonto erforderlich ist
Wenn Sie die Chronicle API verwenden, benötigt Ihr Dienstkonto die Rolle Chronicle API Editor.
Rufen Sie in der Google Cloud Console die Seite APIs und Dienste > Anmeldedaten auf.
Wählen Sie unter Dienstkonten Ihr Dienstkonto aus und klicken Sie auf Berechtigungen > Zugriff verwalten.
Klicken Sie auf HinzufügenRolle hinzufügen und wählen Sie die Rolle
Chronicle API Editoraus. Klicken Sie auf Speichern.
Berechtigungen zur Identitätsübernahme für Ihre Google SecOps-Instanz erteilen
Wenn Sie Workload Identity verwenden möchten, müssen Sie Ihrer Google SecOps-Instanz die Berechtigung erteilen, die Identität Ihres Dienstkontos zu übernehmen. Dies ist der letzte Schritt, der es der Instanz ermöglicht, sicher auf Google Cloud Ressourcen zuzugreifen.
Klicken Sie in Google SecOps auf Marketplace > Response Integrations.
Wählen Sie die Integration aus, die Sie konfigurieren, und geben Sie die E-Mail-Adresse Ihres Dienstkontos in das Feld
Workload Identity Emailein.Geben Sie im Feld
Delegated Emaildie E‑Mail-Adresse ein, die für die Identität der Integration verwendet werden soll.Klicken Sie auf Speichern> ; Test. Der Test sollte fehlschlagen.
Klicken Sie rechts neben Test auf close_small und suchen Sie in der Fehlermeldung nach
gke-init-python@YOUR_PROJECT. Kopieren Sie diese eindeutige E-Mail-Adresse, mit der Ihre Google SecOps-Instanz identifiziert wird.Rufen Sie Dienstkonten auf, wählen Sie Ihr Projekt und dann Ihr Dienstkonto aus.
Wählen Sie Identitäten mit Zugriff> HinzufügenZugriff gewähren aus.
Fügen Sie unter Hauptkonten hinzufügen den kopierten Wert ein.
Wählen Sie unter Rollen hinzufügen die Rolle
Service Account Token Creator(roles/iam.serviceAccountTokenCreator) aus.
Verbindungsprobleme mit der Chronicle API beheben
Wenn Probleme beim Herstellen einer Verbindung zwischen Ihrer Integration und der Chronicle API auftreten, gehen Sie so vor, um die Konfiguration zu prüfen und Probleme mit Anmeldedaten zu beheben:
- Suchen Sie den Chronicle API-Root und prüfen Sie, ob er korrekt in die Integrationskonfiguration eingegeben wurde.
- Achten Sie darauf, dass alle anderen obligatorischen Konfigurationsparameter korrekt ausgefüllt sind.
Die Verbindung testen Wenn der Test erfolgreich ist, sind keine weiteren Schritte erforderlich. Wenn der Test fehlschlägt, fahre mit dem nächsten Schritt fort.
Google Cloud Projektinhaberschaft und Anmeldedaten bestätigen:
- Von Google verwaltetes Projekt: Wenn Ihr Google Cloud Projekt von Google verwaltet wird(Standardbereitstellung), wenden Sie sich bei Problemen mit Anmeldedaten an den Google-Support.
- Bring Your Own Project (BYOP): Wenn Ihr Google Cloud Projekt selbstverwaltet ist (BYOP), prüfen Sie, ob Sie ein Dienstkonto manuell konfiguriert und ihm die entsprechenden Rollen zugewiesen haben.
Integrationsparameter
Für die Google Chronicle-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
UI Root |
Erforderlich. Die Basis-URL der Google SecOps SIEM-Benutzeroberfläche. Damit werden automatisch direkte Links von Ihren Fallaufzeichnungen zurück zur SIEM-Plattform generiert. Der Standardwert ist |
API Root |
Erforderlich. Der API-Root für Ihre Google SecOps SIEM-Instanz. Der Wert hängt von Ihrer Authentifizierungsmethode ab:
|
User's Service Account |
Optional. Der vollständige Inhalt der JSON-Schlüsseldatei des Dienstkontos. Wenn dieser und der Parameter Wenn Sie die Chronicle API verwenden möchten, müssen Sie dieses Feld oder |
Workload Identity Email |
Optional. Die Client-E-Mail-Adresse Ihrer Workload Identity-Föderation. Dieser Parameter hat Vorrang vor der Schlüsseldatei Wenn Sie die Workload Identity Federation verwenden möchten, müssen Sie Ihrem Dienstkonto die Rolle |
Verify SSL |
Erforderlich. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Google SecOps SIEM-Server validiert. Standardmäßig aktiviert. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Eintrag zur Beobachtungsliste hinzufügen
Mit der Aktion Eintrag zur Beobachtungsliste hinzufügen können Sie einer vorhandenen Risk Analytics-Beobachtungsliste in Google SecOps ein bestimmtes Element hinzufügen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Eintrag zur Beobachtungsliste hinzufügen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Watchlist Name |
Erforderlich. Der Name der Risk Analytics-Beobachtungsliste, der der Eintrag hinzugefügt werden soll. |
Entry |
Erforderlich. Das JSON-Objekt, das die der Beobachtungsliste hinzuzufügende Entität darstellt. Die JSON-Struktur erfordert den Entitätswert, den Entitätstyp und einen optionalen Namespace. Der Standardwert ist:
[
{
"entity": "",
"type": "ASSET_IP_ADDRESS/MAC/HOSTNAME/PRODUCT_SPECIFIC_ID/USERNAME/EMAIL/EMPLOYEE_ID/WINDOWS_SID/PRODUCT_OBJECT_ID",
"namespace": "Optional"
}
]
|
Aktionsausgaben
Die Aktion Eintrag zur Merkliste hinzufügen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Add Entry To Watchlist (Eintrag zur Beobachtungsliste hinzufügen) empfangen wird:
[
{
"namespace": "Yuriy",
"asset": {
"hostname": "koko"
}
},
{
"namespace": "Yuriy",
"asset": {
"hostname": "koko"
}
}
]
Ausgabenachrichten
Die Aktion Eintrag zur Merkliste hinzufügen kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Add Entry To Watchlist". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Eintrag zur Beobachtungsliste hinzufügen aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Zeilen zur Datentabelle hinzufügen
Mit der Aktion Zeilen zur Datentabelle hinzufügen können Sie einer Datentabelle in Google SecOps Zeilen hinzufügen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | Beschreibung |
|---|---|
Data Table Name |
Erforderlich. Der Anzeigename der Datentabelle, die aktualisiert werden soll. |
Rows |
Erforderlich. Eine Liste von JSON-Objekten mit Informationen zu den hinzuzufügenden Zeilen. Beispiel:
{
"columnName1": "value1",
"columnName2": "value2"
}
|
Aktionsausgaben
Die Aktion Zeilen zur Datentabelle hinzufügen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| Entitätsstatistiken | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt ein JSON-Beispielergebnis, das von der Aktion Zeilen in Datentabelle einfügen zurückgegeben wird:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
}
}
Ausgabenachrichten
Für die Aktion Zeilen zur Datentabelle hinzufügen werden die folgenden Ausgabemeldungen bereitgestellt:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully added rows to the data table
DATA_TABLE_NAME in
Google SecOps. |
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Add Rows to Data Table". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Zeilen zur Datentabelle hinzufügen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Werte zur Referenzliste hinzufügen
Mit der Aktion Werte zur Referenzliste hinzufügen können Sie einer Referenzliste in Google SecOps Werte hinzufügen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | Beschreibung |
|---|---|
Reference List Name |
Erforderlich. Der Name der zu aktualisierenden Referenzliste. |
Values |
Erforderlich. Eine durch Kommas getrennte Liste von Werten, die der Referenzliste hinzugefügt werden sollen. |
Aktionsausgaben
Die Aktion Add Value To Reference List (Wert zur Referenzliste hinzufügen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| Entitätsstatistiken | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Wert zur Referenzliste hinzufügen mit der Backstory API empfangen wird:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Add Value To Reference List (Wert zur Referenzliste hinzufügen) mit der Chronicle API empfangen wird:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_NAME",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Ausgabenachrichten
Die Aktion Werte zur Referenzliste hinzufügen gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully added values to the reference list
REFERENCE_LIST_NAME. |
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Add Values To Reference List". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Werte der Referenzliste hinzufügen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Gemini fragen
Mit der Aktion Gemini fragen können Sie einen Textprompt an Gemini in Google SecOps senden.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | Beschreibung |
|---|---|
Automatic Opt-in |
Optional. Wenn diese Option ausgewählt ist, wird der Nutzer automatisch für die Gemini-Unterhaltung angemeldet, ohne dass eine manuelle Bestätigung erforderlich ist. Standardmäßig aktiviert. |
Prompt |
Erforderlich. Der ursprüngliche Text-Prompt oder die Frage, die an Gemini gesendet wird. |
Aktionsausgaben
Die Aktion Gemini fragen liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| Entitätsstatistiken | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Gemini fragen empfangen wird:
{
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/users/me/conversations/db3b0fc2-94f8-42ae-b743-c3693f593269/messages/b58e3186-e697-4400-9da8-8ef252a20bd9",
"input": {
"body": "Is IP 159.138.84.217 malicious? What can you tell me about it?"
},
"responses": [
{
"blocks": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<p>The IP address 159.138.84.217 is associated with malware and threat actors.</p>\n<ul>\n<li>It is an IPv4 indicator.</li>\n<li>It is associated with BEACON malware.</li>\n<li>It is categorized as malware-Backdoor.</li>\n<li>It has a low confidence, high severity threat rating.</li>\n<li>VirusTotal's IP Address Report indicates the network for this IP is 159.138.80.0/20, and the IP is associated with HUAWEI CLOUDS in Singapore.</li>\n<li>VirusTotal's last analysis on April 22, 2025, showed 8 malicious detections out of 94 sources.</li>\n</ul>\n<p>I might have more details for a question with more context (e.g., what is the source of the IP, what type of network traffic is associated with the IP).</p>\n"
}
}
],
"references": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<ol>\n<li><a href=\"https://advantage.mandiant.com/indicator/ipv4/159.138.84.217\" target=\"_blank\">Mandiant - indicator - 159.138.84.217</a></li>\n</ol>\n"
}
}
],
"groundings": [
"IP address 159.138.84.217 malicious cybersecurity",
"IP address 159.138.84.217 threat intelligence"
]
}
],
"createTime": "2025-05-16T11:31:36.660538Z"
}
}
Ausgabenachrichten
Die Aktion Gemini fragen gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully executed a prompt in Google SecOps. |
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "GoogleChronicle - Ask Gemini".
Reason: ERROR_REASON |
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Gemini fragen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Domain anreichern (eingestellt)
Mit der Aktion Domain anreichern können Sie Domains mit Informationen aus IoCs in Google SecOps SIEM anreichern.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
URLHostname
Aktionseingaben
Für die Aktion Domain anreichern sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Create Insight |
Wenn diese Option ausgewählt ist, wird durch die Aktion ein Insight mit Informationen zu den Entitäten erstellt. Standardmäßig aktiviert. |
Only Suspicious Insight |
Wenn diese Option ausgewählt ist, wird nur für Entitäten, die als verdächtig markiert sind, ein Insight erstellt. Standardmäßig nicht aktiviert. Wenn Sie diesen Parameter auswählen, müssen Sie auch |
Lowest Suspicious Severity |
Erforderlich. Der niedrigste Schweregrad, der mit der Domain verknüpft ist und erforderlich ist, um sie als verdächtig zu kennzeichnen. Der Standardwert ist
|
Mark Suspicious N/A Severity |
Erforderlich. Wenn diese Option ausgewählt ist und die Informationen zum Schweregrad nicht verfügbar sind, wird die Einheit durch die Aktion als verdächtig markiert. |
Aktionsausgaben
Die Aktion Domain anreichern liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Verfügbar |
| Entitätsstatistiken | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Die Aktion Domain anreichern enthält die folgende Tabelle:
Name: ENTITY_IDENTIFIER
Spalten:
- Quelle
- Schweregrad
- Kategorie
- Verlässlichkeit
Entitätsanreicherung
Die Aktion Domain anreichern unterstützt die folgende Logik zur Anreicherung von Entitäten:
| Anreicherungsfeld | Logik (wann anwenden) |
|---|---|
severity |
Wenn in JSON verfügbar |
average_confidence |
Wenn in JSON verfügbar |
related_domains |
Wenn in JSON verfügbar |
categories |
Wenn in JSON verfügbar |
sources |
Wenn in JSON verfügbar |
first_seen |
Wenn in JSON verfügbar |
last_seen |
Wenn in JSON verfügbar |
report_link |
Wenn in JSON verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Enrich Domain (Domain anreichern) mit der Backstory API empfangen wird:
{
{
"sources": [
{
"source": "ET Intelligence Rep List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Enrich Domain (Domain anreichern) mit der Chronicle API empfangen wird:
[
{
"Entity": "example.com",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
},
{
"category": "Phishing",
"firstActiveTime": null,
"lastActiveTime": "2020-11-27T14:31:37Z",
"addresses": [
{
"domain": "example.com"
},
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "high",
"confidenceScore": {
"strRawConfidenceScore": "high"
}
},
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
},
{
"metadata": {
"title": "ESET Threat Intelligence",
"description": "ESET Threat Intelligence"
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Phishing",
"activeTimerange": {
"end": "2020-11-27T14:31:37Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "High",
"rawSeverity": "High"
}
]
},
{
"metadata": {
"title": "Mandiant Active Breach Intelligence",
"description": "Mandiant Active Breach IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
}
]
}
}
]
Ausgabenachrichten
Die Aktion Domain anreichern gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully enriched the following domain in Google Chronicle:
LIST_OF_IDS |
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Enrich Domain". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Enrich Domain beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Entitäten anreichern
Mit der Aktion Entitäten anreichern können Sie Google SecOps nach zusätzlichem Kontext und Attributen für bestimmte Entitätstypen abfragen. Durch diese Aktion werden Daten zur Bedrohungsanalyse durch die Integration externer Informationen verbessert.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
DomainFile HashHostnameIP AddressURL(extrahiert die Domain aus der URL)UserEmail(Nutzerentität mit E‑Mail-Regex)
Aktionseingaben
Für die Aktion Enrich Entities sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Namespace |
Optional. Die logische Gruppierung oder der Bereich der zu erweiternden Entitäten. Wenn diese Option nicht ausgewählt ist, wird die Anreicherung auf Entitäten im Standard-Namespace oder in allen zugänglichen Namespaces angewendet. Entitäten müssen zu diesem Namespace gehören, damit sie verarbeitet werden können. |
Time Frame |
Optional. Ein relativer Zeitraum, z. B. Dieser Parameter hat Vorrang vor |
Start Time |
Optional. Die Startzeit für den Anreicherungszeitraum im ISO 8601-Format. Verwenden Sie diese mit |
End Time |
Optional. Die absolute Endzeit für den Anreicherungszeitraum im ISO 8601-Format. Wird mit |
Aktionsausgaben
Die Aktion Enrich Entities (Entitäten anreichern) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
| Anreicherungsfeld | Quelle (JSON-Schlüssel) | Gültigkeit |
|---|---|---|
GoogleSecOps_related_entities |
Anzahl der related_entities | Wenn im JSON-Ergebnis verfügbar. |
GoogleSecOps_alert_count_ruleName |
{alertCounts.count} für jede spezifische Regel | Wenn im JSON-Ergebnis verfügbar. |
GoogleSecOps_first_seen |
metric.firstSeen |
Wenn im JSON-Ergebnis verfügbar. |
GoogleSecOps_last_seen |
metric.lastSeen |
Wenn im JSON-Ergebnis verfügbar. |
GoogleSecOps_flattened_key_under_entity |
Der Wert des Schlüssels, der aus der verschachtelten Struktur unter dem "entity"-Objekt vereinfacht wurde. |
Wenn im JSON-Ergebnis verfügbar. |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Enrich Entities (Entitäten anreichern) empfangen wird:
[
{
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"domain": {
"name": "markossolomon.com",
"firstSeenTime": "1970-01-01T00:00:00Z",
"lastSeenTime": "1970-01-01T00:00:00Z",
"registrar": "NameCheap, Inc.",
"creationTime": "2013-12-06T02:41:09Z",
"updateTime": "2019-11-06T11:48:33Z",
"expirationTime": "2020-12-06T02:41:09Z",
"registrant": {
"userDisplayName": "WhoisGuard Protected",
"emailAddresses": [
"58d09cb5035042e9920408f8bafd0869.protect@whoisguard.com"
],
"personalAddress": { "countryOrRegion": "PANAMA" },
"companyName": "WhoisGuard, Inc."
}
}
}
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "npatni-sysops",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "npatni-sysops" }
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "329" },
{ "rule": "rule_testbucket", "count": "339" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "332" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 1000 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "exlab2019-ad",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "exlab2019-ad" }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.30.202.229",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "ip": ["172.30.202.229"] }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.17.0.1",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": { "namespace": "Yuriy", "asset": { "ip": ["172.17.0.1"] } },
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
}
},
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "911d039e71583a07320b32bde22f8e22",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"file": {
"sha256": "bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527",
"md5": "911d039e71583a07320b32bde22f8e22",
"sha1": "ded8fd7f36417f66eb6ada10e0c0d7c0022986e9",
"size": "278528",
"fileType": "FILE_TYPE_PE_EXE",
"names": [
"C:\\Windows\\System32\\cmd.exe",
"cmd",
"Cmd.Exe",
"C:\\Windows\\system32\\cmd.exe",
"C:\\Windows\\SYSTEM32\\cmd.exe",
"cmd.exe",
"C:\\\\Windows\\\\System32\\\\cmd.exe",
"C:\\windows\\SYSTEM32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\wjxpour4.d0f\\cmd.exe",
"c:\\Windows\\System32\\cmd.exe",
"Utilman.exe",
"c:\\windows\\system32\\cmd.exe",
"System32/cmd.exe",
"UtilityVM/Files/Windows/System32/cmd.exe",
"KerishDoctor/Data/KerishDoctor/Restore/cmd.rst",
"cmd.exe_",
"C:\\WINDOWS\\SYSTEM32\\cmd.exe",
"Cmd.exe",
"Windows/System32/cmd.exe",
"sethc.exe",
"C:\\WINDOWS\\System32\\cmd.exe",
"esRzqurX.exe",
"rofl.png",
"F:\\Windows\\SYSTEM32\\cmd.exe",
"utilman.exe",
"C:\\Windows\\system32\\CMD.exe",
"sys32exe/cmd.exe",
"cmd.txt",
"C:\\WINDOWS\\system32\\cmd.exe",
"cmd2.exe",
"Utilman.exe.sc",
"uhrHRIv8.exe",
"C:\\windows\\system32\\cmd.exe",
"submitted_file",
"C:\\Users\\user\\AppData\\Local\\Temp\\n1qo0bq3.2tn\\KerishDoctor\\Data\\KerishDoctor\\Restore\\cmd.rst",
"J6ff7z0hLYo.exe",
"N:\\Windows\\System32\\cmd.exe",
"Q:\\Windows\\System32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\cmd.exe",
"C:\\Users\\<USER>\\AppData\\Local\\Temp\\cmd.exe",
"test.exe",
"68E2F01F8DE9EFCAE9C0DD893DF0E8C34E2B5C98A6C4073C9C9E8093743D318600.blob",
"8FCVE0Kq.exe",
"cmd (7).exe",
"cmd (8).exe",
"21455_16499564_bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527_cmd.exe",
"LinX v0.9.11 (Intel)/cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\inbvmkaa.1xd\\LinX v0.9.11 (Intel)\\cmd.exe",
"cmd_b.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\sfd5bhoe.nqi\\cmd.exe",
"cMd.exe",
"Repl_Check.bat__",
"cmd.pdf",
"cmd.EXE",
"C:\\Users\\user\\AppData\\Local\\Temp\\uszjr42t.kda\\cmd.exe",
"LFepc1St.exe",
"firefox.exe",
"3BcnNlWV.exe",
"Utilman.exebak",
"utilman1.exe",
"1.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\ispvscgp.ep2\\sys32exe\\cmd.exe",
"cmd_1771019736291028992.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\xijgwqvd.54g\\cmd.exe",
"Sethc.exe",
"\\Device\\CdRom1\\DANFE352023067616112\\DANFE352023067616112.EXE",
"DANFE352023067616112.exe",
"file.exe",
"DANFE352023067616112/DANFE352023067616112.exe",
"C:\\Windows\\SYSTEM32\\Cmd.exe",
"pippo.exe",
"C:\\Windows\\System32\\sethc.exe",
"cmd.exe-bws024-windowsfolder",
"whatever.exe",
"sethc.exe.bak",
"S71dbOR1.exe",
"F:\\windows\\SYSTEM32\\cmd.exe",
"L6puhWL7.exe",
"DANFE357986551413927.exe",
"DANFE357666506667634.exe",
"\\Device\\CdRom1\\DANFE357666506667634\\DANFE357666506667634.EXE",
"\\Device\\CdRom1\\DANFE357986551413927\\DANFE357986551413927.EXE",
"\\Device\\CdRom1\\DANFE358567378531506\\DANFE358567378531506.EXE",
"\\Device\\CdRom1\\HtmlFactura3f48daa069f0e42253194ca7b51e7481DPCYKJ4Ojk\\HTMLFACTURA3F48DAA069F0E42253194CA7B51E7481DPCYKJ4OJK.EXE",
"\\Device\\CdRom1\\DANFE357410790837014\\DANFE357410790837014.EXE",
"\\Device\\CdRom1\\DANFE357702036539112\\DANFE357702036539112.EXE",
"winlogon.exe",
"AccessibilityEscalation.A' in file 'utilman.exe'",
"qpl9AqT0.exe",
"C:\\windows\\system32\\CMD.exe",
"C:\\po8az\\2po9hmc\\4v1b5.exe",
"batya.exe",
"nqAwJaba.exe",
"\\Device\\CdRom1\\DANFE356907191810758\\DANFE356907191810758.EXE",
"/Volumes/10_11_2023/DANFE356907191810758/DANFE356907191810758.exe",
"/Volumes/09_21_2023/DANFE357986551413927/DANFE357986551413927.exe",
"\\Device\\CdRom1\\DANFE355460800350113\\DANFE355460800350113.EXE",
"/Volumes/09_19_2023/DANFE355460800350113/DANFE355460800350113.exe",
"DANFE352429512050669.exe",
"/Volumes/04_15_2023/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3.exe"
],
"firstSeenTime": "2024-12-15T09:07:02Z",
"lastSeenTime": "2025-07-18T07:43:59.045Z",
"lastAnalysisTime": "2025-07-16T10:06:40Z",
"signatureInfo": {
"sigcheck": {
"verificationMessage": "Signed",
"verified": true,
"signers": [{ "name": "Microsoft Windows" }]
}
},
"firstSubmissionTime": "2025-07-15T16:30:27Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "329" },
{ "rule": "rule_testbucket", "count": "345" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "326" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{ "alertCount": 31 },
{ "alertCount": 111 },
{ "alertCount": 109 },
{ "alertCount": 82 },
{ "alertCount": 86 },
{ "alertCount": 98 },
{ "alertCount": 86 },
{ "alertCount": 85 },
{ "alertCount": 92 },
{ "alertCount": 89 },
{ "alertCount": 90 },
{ "alertCount": 41 }
],
"bucketSize": "172800s"
},
"prevalenceResult": [
{ "prevalenceTime": "2025-01-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-16T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-17T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-18T00:00:00Z", "count": 2 }
],
"relatedEntities": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiFQoGCPbso7wGEgsIv_bnwwYQwMq6FQ",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"hostname": "exlab2019-ad",
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIVCgYI9uyjvAYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"ip": ["172.30.202.229"],
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
}
]
}
},
{
"Entity": "tencent.com",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"domain": {
"name": "tencent.com",
"firstSeenTime": "2025-01-14T14:01:00Z",
"lastSeenTime": "2025-01-14T15:02:00Z",
"registrar": "MarkMonitor Information Technology (Shanghai) Co., Ltd.",
"creationTime": "1998-09-14T04:00:00Z",
"updateTime": "2024-08-20T08:04:01Z",
"expirationTime": "2032-09-13T04:00:00Z",
"registrant": {
"emailAddresses": [""],
"personalAddress": { "countryOrRegion": "CHINA" },
"companyName": "\u6df1\u5733\u5e02\u817e\u8baf\u8ba1\u7b97\u673a\u7cfb\u7edf\u6709\u9650\u516c\u53f8"
}
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "00:50:56:b6:34:86",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "mac": ["00:50:56:b6:34:86"] }
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
}
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
}
]
Ausgabenachrichten
Die Aktion Enrich Entities kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Enrich Entities verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
IP-Adressen anreichern (eingestellt)
Verwenden Sie die Aktion IP anreichern, um IP-Entitäten mit Informationen aus IoCs in Google SecOps SIEM anzureichern.
Diese Aktion wird für die Entität „IP-Adresse“ ausgeführt.
Aktionseingaben
Für die Aktion IP anreichern sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Create Insight |
Optional. Wenn diese Option ausgewählt ist, wird durch die Aktion ein Insight erstellt, der Informationen zu Entitäten enthält.Standardmäßig aktiviert. |
Only Suspicious Insight |
Optional. Wenn diese Option ausgewählt ist, werden nur für Entitäten, die als verdächtig gekennzeichnet sind, Statistiken erstellt.Standardmäßig nicht aktiviert. Wenn Sie diesen Parameter auswählen, muss auch |
Lowest Suspicious Severity |
Erforderlich. Der niedrigste Schweregrad, der mit der IP-Adresse verknüpft ist, um sie als verdächtig zu kennzeichnen. Der Standardwert ist
|
Mark Suspicious N/A Severity |
Erforderlich. Wenn diese Option ausgewählt ist und die Informationen zum Schweregrad nicht verfügbar sind, wird die Einheit durch die Aktion als verdächtig markiert. |
Aktionsausgaben
Die Aktion IP anreichern liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Name: ENTITY_IDENTIFIER
Spalten:
- Quelle
- Schweregrad
- Kategorie
- Verlässlichkeit
- Zugehörige Domains
Entitätsanreicherung
Die Aktion IP anreichern unterstützt die folgende Logik zur Anreicherung von Entitäten:
| Anreicherungsfeld | Logik (wann anwenden) |
|---|---|
severity |
Wenn in JSON verfügbar |
average_confidence |
Wenn in JSON verfügbar |
related_domains |
Wenn in JSON verfügbar |
categories |
Wenn in JSON verfügbar |
sources |
Wenn in JSON verfügbar |
first_seen |
Wenn in JSON verfügbar |
last_seen |
Wenn in JSON verfügbar |
report_link |
Wenn in JSON verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion IP anreichern mit der Backstory API empfangen wird:
{
{
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion IP anreichern mit der Chronicle API empfangen wird:
[
{
"Entity": "192.0.2.121",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "low",
"confidenceScore": {
"strRawConfidenceScore": "67"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "67",
"rawSeverity": "Low"
}
]
}
]
}
}
]
Ausgabenachrichten
Die Aktion IP anreichern gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully enriched the following IPs from Google Chronicle:
LIST_OF_IPS |
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion IP anreichern beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Retrohunt ausführen
Verwenden Sie die Aktion Execute Retrohunt (Retrohunt ausführen), um einen Regel-Retrohunt in Google SecOps auszuführen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Execute Retrohunt sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Rule ID |
Erforderlich. Die ID der Regel, für die ein RetroHunt ausgeführt werden soll. Verwenden Sie das Format |
Time Frame |
Optional. Ein Zeitraum, für den die Ergebnisse abgerufen werden sollen. Folgende Werte sind möglich:
Wenn Der Standardwert ist |
Start Time |
Die Startzeit für die Ergebnisse im ISO 8601-Format. Dieser Parameter ist erforderlich, wenn der Parameter |
End Time |
Die Endzeit für die Ergebnisse im ISO 8601-Format.
Wenn Sie keinen Wert festlegen und den Wert |
Aktionsausgaben
Die Aktion Execute Retrohunt (Retrohunt ausführen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| Entitätsstatistiken | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Execute Retrohunt (Retrohunt ausführen) mit der Backstory API empfangen wird:
{
"retrohuntId": "oh_d738c8ea-8fd7-4cc1-b43d-25835b8e1785",
"ruleId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497",
"versionId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497@v_1612472807_179679000",
"eventStartTime": "2021-01-14T23:00:00Z",
"eventEndTime": "2021-01-30T23:00:00Z",
"retrohuntStartTime": "2021-02-08T02:40:59.192113Z",
"state": "RUNNING"
}
Das folgende Beispiel beschreibt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Execute Retrohunt (Retrohunt ausführen) mit der Chronicle API empfangen wird:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/RetrohuntMetadata",
"retrohunt": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID/retrohunts/RETROHUNT_ID",
"executionInterval": {
"startTime": "2025-01-22T12:16:20.963182Z",
"endTime": "2025-01-23T12:16:20.963182Z"
}
},
"retrohuntId": "RETROHUNT_ID",
"ruleId": "RULE_ID",
"versionId": "VERSION_ID",
"eventStartTime": "2025-01-22T12:16:20.963182Z",
"eventEndTime": "2025-01-23T12:16:20.963182Z"
}
Ausgabenachrichten
Die Aktion Retrohunt ausführen gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully executed a retrohunt for the provided rule in Google
Chronicle.
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Execute Retrohunt". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Execute Retrohunt (Retrohunt ausführen) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
UDM-Abfrage ausführen
Mit der Aktion UDM-Abfrage ausführen können Sie eine benutzerdefinierte UDM-Abfrage in Google SecOps ausführen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion UDM-Abfrage ausführen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Query String |
Erforderlich. Die in Google SecOps auszuführende Abfrage. |
Time Frame |
Optional. Ein Zeitraum, für den die Ergebnisse abgerufen werden sollen. Folgende Werte sind möglich:
Wenn Der Standardwert ist |
Start Time |
Optional. Die Startzeit für die Ergebnisse im ISO 8601-Format (z. B. Dieser Parameter ist erforderlich, wenn der Parameter Der Zeitraum darf maximal 90 Tage umfassen. |
End Time |
Optional. Die Endzeit für die Ergebnisse im ISO 8601-Format (z. B. Wenn Sie keinen Wert festlegen und der Parameter Der Zeitraum darf maximal 90 Tage umfassen. |
Max Results To Return |
Optional. Die Anzahl der Ergebnisse, die für eine einzelne Anfrage zurückgegeben werden sollen. Der Höchstwert ist Der Standardwert ist |
Aktionsausgaben
Die Aktion UDM-Abfrage ausführen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion UDM-Abfrage ausführen empfangen wird:
{
"events":[
"event":{
"metadata":{
"eventTimestamp":"2022-01-20T09:15:15.687Z",
"eventType":"USER_LOGIN",
"vendorName":"Example Vendor",
"productName":"Example Product",
"ingestedTimestamp":"2022-01-20T09:45:07.433587Z"
},
"principal":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.0"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
],
"location":{
"city":"San Francisco",
"state":"California",
"countryOrRegion":"US"
},
"asset":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.1",
"203.0.113.1",
"203.0.113.1"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
]
}
},
"target":{
"user":{
"userid":"Example",
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-4712406912-7108061610-2717800068-993683",
"emailAddresses":[
"example@example.com",
"admin.example@example.com"
],
"employeeId":"2406187",
"productObjectId":"f93f1540-4935-4266-aa8e-a750a319aa1c",
"firstName":"Example",
"lastName":"User",
"phoneNumbers":[
"555-01-75"
],
"title":"Executive Assistant",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
],
"managers":[
{
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-6051382818-4135626959-8120238335-834071",
"emailAddresses":[
"user@example.com"
],
"employeeId":"5478500",
"productObjectId":"8b3924d5-6157-43b3-857b-78aa6bd94705",
"firstName":"User",
"lastName":"Example",
"phoneNumbers":[
"555-01-75"
],
"title":"Chief Technology Officer",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
]
}
]
},
"ip":[
"198.51.100.1"
],
"email":"email@example.com",
"application":"Example Sign In"
},
"securityResult":[
{
"summary":"Successful Login",
"action":[
"ALLOW"
]
}
],
"extensions":{
"auth":{
"type":"SSO"
}
}
},
"eventLogToken":"96f23eb9ffaa9f7e7b0e2ff5a0d2e34c,1,1642670115687000,USER,|USER_LOGIN"
]
}
Ausgabenachrichten
Die Aktion UDM-Abfrage ausführen gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Execute UDM Query". Reason:
ERROR_REASON
|
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Execute UDM Query". Reason: you've reached a
rate limit. Please wait for several minutes and try again. |
Die Aktion ist fehlgeschlagen. Warten Sie einige Minuten, bevor Sie die Aktion noch einmal ausführen. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion UDM-Abfrage ausführen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
UDM-Abfrage generieren
(Vorabversion) Mit der Aktion UDM-Abfrage generieren können Sie in Google SecOps komplexe UDM-Abfragen mit Prompts in natürlicher Sprache erstellen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion UDM-Abfrage generieren sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Prompt |
Erforderlich. Der Prompt, den das System zum Generieren der strukturierten UDM-Abfrage verwendet. |
Aktionsausgaben
Die Aktion Get Data Tables (Datentabellen abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion UDM-Abfrage generieren empfangen wird:
{
"query": "ip = \"10.0.0.1\""
}
Ausgabenachrichten
Die Aktion UDM-Abfrage generieren gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully generated a UDM query in Google SecOps. |
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Generate UDM Query". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion UDM-Abfrage generieren beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Datentabellen abrufen
Mit der Aktion Get Data Tables (Datentabellen abrufen) können Sie verfügbare Datentabellen in Google SecOps abrufen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Datentabellen abrufen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Filter Key |
Optional. Der Schlüssel, nach dem gefiltert werden soll Die Option Folgende Werte sind möglich: NameDescription |
Filter Logic |
Optional. Die anzuwendende Filterlogik. Folgende Werte sind möglich: Equal (für genaue Übereinstimmungen)Contains(für Teilstring-Übereinstimmungen) |
Filter Value |
Optional. Der Wert, der im Filter verwendet werden soll. Folgende Werte sind möglich: Equal (für genaue Übereinstimmungen)Contains(für Teilstring-Übereinstimmungen)
Wenn nichts angegeben ist, wird der Filter nicht angewendet. |
Expanded Rows |
Optional. Wenn diese Option ausgewählt ist, enthält die Antwort detaillierte Datenzeilen. Standardmäßig nicht aktiviert. |
Max Data Tables To Return |
Erforderlich. Die Anzahl der zurückzugebenden Datentabellen. Der Höchstwert ist |
Max Data Table Rows To Return |
Erforderlich. Die Anzahl der zurückzugebenden Zeilen der Datentabelle. Verwenden Sie diesen Parameter nur, wenn Der Höchstwert ist |
Aktionsausgaben
Die Aktion Get Data Tables (Datentabellen abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Get Data Tables (Datentabellen abrufen) empfangen wird:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table",
"displayName": "data_table",
"createTime": "2025-05-14T12:52:50.064133Z",
"updateTime": "2025-05-14T13:13:48.631442Z",
"columnInfo": [
{
"originalColumn": "columnName1",
"columnType": "STRING"
},
{
"columnIndex": 1,
"originalColumn": "columnName2",
"columnType": "STRING"
},
{
"columnIndex": 2,
"originalColumn": "columnName3",
"columnType": "STRING"
}
],
"dataTableUuid": "c3cce57bb8d940d5ac4523c37d540436",
"approximateRowCount": "2",
"rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
Ausgabenachrichten
Die Aktion Get Data Tables (Datentabellen abrufen) gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully found data tables for the provided criteria in Google
SecOps |
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Get Data Tables". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Data Tables beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Details zur Erkennung abrufen
Mit der Aktion Get Detection Details (Erkennungsdetails abrufen) können Sie Informationen zu einer Erkennung in Google SecOps abrufen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Get Detection Details sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Rule ID |
Erforderlich. Die ID der Regel, die mit der Erkennung verknüpft ist. Verwenden Sie das Format |
Detection ID |
Erforderlich. Die ID der Erkennung, für die Details abgerufen werden sollen. Wenn Sonderzeichen angegeben werden, schlägt die Aktion nicht fehl, sondern gibt eine Liste von erkannten Elementen zurück. |
Aktionsausgaben
Die Aktion Erkennungsdetails abrufen gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Erkennungsdetails abrufen empfangen wird:
{
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "singleEventRule2",
"urlBackToProduct":
"https://INSTANCE/ruleDetections?
ruleId=ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d&selectedList=RuleDetectionsViewTimeline&
selectedParentDetectionId=de_ce594791-09ed-9681-27fa-3b7c8fa6054c&
selectedTimestamp=2020-12-03T16: 50: 47.647245Z","ruleId": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d",
"ruleVersion": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d@v_1605892822_687503000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT"
}
],
"createdTime": "2020-12-03T19:19:21.325134Z",
"id": "de_ce594791-09ed-9681-27fa-3b7c8fa6054c",
"timeWindow": {
"startTime": "2020-12-03T16:50:47.647245Z",
"endTime": "2020-12-03T16:50:47.647245Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2020-12-03T16:50:47.647245Z",
"collectedTimestamp": "2020-12-03T16:50:47.666064010Z",
"eventType": "NETWORK_DNS",
"productName": "ProductName",
"ingestedTimestamp": "2020-12-03T16:50:49.494542Z"
},
"principal": {
"ip": [
"192.0.2.1"
]
},
"target": {
"ip": [
"203.0.113.1"
]
},
"securityResult": [
{
"action": [
"UNKNOWN_ACTION"
]
}
],
"network": {
"applicationProtocol": "DNS",
"dns": {
"questions": [
{
"name": "example.com",
"type": 1,
"class": 1
}
],
"id": 12345,
"recursionDesired": true
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2020-12-03T16:50:47.647245Z"
}
Ausgabenachrichten
Die Aktion Erkennungsdetails abrufen gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully fetched information about the detection with ID
DETECTION_ID in Google Chronicle. |
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Get Detection Details". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Erkennungsdetails abrufen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Referenzlisten abrufen
Verwenden Sie die Aktion Referenzlisten abrufen, um verfügbare Referenzlisten in Google SecOps abzurufen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Referenzlisten abrufen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Filter Key |
Der Schlüssel, nach dem gefiltert werden soll.
Folgende Werte sind möglich:
|
Filter Logic |
Die anzuwendende Filterlogik. Folgende Werte sind möglich: Equal (für genaue Übereinstimmungen)Contains(für Teilstring-Übereinstimmungen)Der Standardwert ist |
Filter Value |
Der Wert, der im Filter verwendet werden soll.
Folgende Werte sind möglich: Equal (für genaue Übereinstimmungen)Contains(für Teilstring-Übereinstimmungen)
Wenn kein Wert angegeben wird, wird der Filter nicht angewendet. |
Expanded Details |
Wenn diese Option ausgewählt ist, gibt die Aktion detaillierte Informationen zu den Referenzlisten zurück.
Standardmäßig nicht aktiviert. |
Max Reference Lists To Return |
Die Anzahl der zurückzugebenden Referenzlisten.
Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Reference List (Referenzliste abrufen) liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Auf einer Case Wall wird mit Get Reference Lists (Referenzlisten abrufen) die folgende Tabelle bereitgestellt:
Name: Available Reference Lists (Verfügbare Referenzlisten)
Spalten:
- Name
- Beschreibung
- Typ
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die beim Verwenden der Aktion Get Reference Lists (Referenzlisten abrufen) mit der Backstory API empfangen wird:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Get Reference Lists (Referenzlisten abrufen) mit der Chronicle API empfangen wird:
[
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_ID",
"displayName": "REFERENCE_LIST_ID",
"revisionCreateTime": "2025-01-09T15:53:10.851775Z",
"description": "Test reference list",
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-09T15:53:10.851775Z"
}
]
Ausgabenachrichten
Die Aktion Get Reference Lists (Referenzlisten abrufen) gibt die folgenden Ausgabenachrichten zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action
ACTION_NAME. Reason:
ERROR_REASON
|
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action
ACTION_NAME. Reason: "Invalid
value was provided for "Max Reference Lists to Return":
PROVIIDED_VALUE. Positive number should be provided. |
Die Aktion ist fehlgeschlagen.
Prüfen Sie den Wert für den Parameter |
Skript
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Referenzlisten abrufen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Regeldetails abrufen
Mit der Aktion Get Rule Details (Regeldetails abrufen) können Sie Informationen zu einer Regel in Google SecOps abrufen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Get Rule Details sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Rule ID |
Erforderlich. Die Regel-ID, für die die Details abgerufen werden sollen. |
Aktionsausgaben
Die Aktion Get Rule Details (Regeldetails abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Get Rule Details (Regeldetails abrufen) mit der Backstory API empfangen wird:
{
"ruleId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f",
"versionId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f@v_1602631093_146879000",
"ruleName": "SampleRule",
"metadata": {
"description": "Sample Description of the Rule",
"author": "author@example.com"
},
"ruleText": "rule SampleRule {
meta:
description = \"Sample Description of the Rule\"
author = \"author@example.com\"
events:
// This will just generate lots of detections
$event.metadata.event_type = \"NETWORK_HTTP\"
condition:
$event
} ",
"liveRuleEnabled": true,
"versionCreateTime": "2020-10-13T23:18:13.146879Z",
"compilationState": "SUCCEEDED"
}
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Get Rule Details (Regeldetails abrufen) mit der Chronicle API empfangen wird:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID",
"revisionId": "v_1733917896_973567000",
"displayName": "Test_rule_SingleEvent",
"text": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"author": "example_user",
"metadata": {
"author": "example_user",
"description": "windowed single event example rule",
"severity": null
},
"createTime": "2024-12-11T11:36:18.192127Z",
"revisionCreateTime": "2024-12-11T11:51:36.973567Z",
"compilationState": "SUCCEEDED",
"type": "SINGLE_EVENT",
"allowedRunFrequencies": [
"LIVE",
"HOURLY",
"DAILY"
],
"etag": "CMj55boGEJjondAD",
"ruleId": "RULE_ID",
"versionId": "RULE_ID@v_1733917896_973567000",
"ruleName": "Test_rule_SingleEvent",
"ruleText": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"ruleType": "SINGLE_EVENT",
"versionCreateTime": "2024-12-11T11:51:36.973567Z"
}
Ausgabenachrichten
Die Aktion Get Rule Details (Regeldetails abrufen) gibt die folgenden Ausgabenachrichten zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully fetched information about the rule with ID
RULE_ID in Google Chronicle.
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Get Rule Details". Reason:
ERROR_REASON
|
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Rule Details (Regeldetails abrufen) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Wert in Datentabelle
Mit Is Value In Data Table (Ist Wert in Datentabelle) können Sie prüfen, ob die angegebenen Werte in einer Datentabelle in Google SecOps enthalten sind.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Is Value In Data Table (Ist Wert in Datentabelle) sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Data Table Name |
Erforderlich. Der Anzeigename der Datentabelle, in der gesucht werden soll. |
Column |
Optional. Eine durch Kommas getrennte Liste der zu durchsuchenden Spalten. Wenn kein Wert angegeben ist, werden alle Spalten durchsucht. |
Values |
Erforderlich. Eine durch Kommas getrennte Liste von Werten, nach denen gesucht werden soll. |
Case Insensitive Search |
Optional. Wenn diese Option ausgewählt ist, wird bei der Suche nicht zwischen Groß- und Kleinschreibung unterschieden. Standardmäßig aktiviert. |
Max Data Table Rows To Return |
Erforderlich. Die Anzahl der Datenzeilen, die pro übereinstimmendem Wert zurückgegeben werden sollen. Der Höchstwert ist |
Aktionsausgaben
Die Aktion Is Value In Data Table (Ist Wert in Datentabelle) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Is Value In Data Table (Ist Wert in Datentabelle) empfangen wird:
[{
"Entity": "asda",
"EntityResult": {
"is_found": true,
"matched_rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
}]
Ausgabenachrichten
Für die Aktion Is Value In Data Table (Ist Wert in Datentabelle) sind die folgenden Ausgabemeldungen verfügbar:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully searched provided values in the data table {data table}
in Google SecOps.
|
Die Aktion wurde erfolgreich ausgeführt. |
| Fehler beim Ausführen der Aktion „Is Value In Data Table“ (Ist Wert in Datentabelle). Grund: ERROR_REASON | Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Is Value In Data Table". Reason: the
following data tables were not found in:
DATA_TABLE_NAME:
COLUMN_NAMES. Please check the
spelling.
|
Die Aktion ist fehlgeschlagen. |
Error executing action "Is Value In Data Table". Reason:
This action is not supported for Backstory API configuration. Please update
the integration configuration.
|
Die Aktion ist fehlgeschlagen. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Is Value In Data Table (Ist Wert in Datentabelle) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Ist Wert in Referenzliste
Mit der Aktion Is Value In Reference List (Ist Wert in Referenzliste) können Sie prüfen, ob die angegebenen Werte in Referenzlisten in Google SecOps enthalten sind.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Is Value In Reference List sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Reference List Names |
Erforderlich. Eine durch Kommas getrennte Liste mit Namen von Referenzlisten, die durchsucht werden sollen. |
Values |
Erforderlich. Eine durch Kommas getrennte Liste von Werten, nach denen gesucht werden soll. |
Case Insensitive Search |
Optional. Wenn diese Option ausgewählt ist, wird bei der Suche nicht zwischen Groß- und Kleinschreibung unterschieden. |
Aktionsausgaben
Die Aktion Is Value In Reference List (Ist Wert in Referenzliste) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Is Value In Reference List (Ist Wert in Referenzliste) mit der Backstory API empfangen wird:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Is Value In Reference List (Ist Wert in Referenzliste) mit der Chronicle API empfangen wird:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
Ausgabenachrichten
Die Aktion Is Value In Reference List (Ist Wert in Referenzliste) gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully searched provided values in the reference lists in
Google Chronicle.
|
Die Aktion wurde erfolgreich ausgeführt. |
| Fehler beim Ausführen der Aktion „Is Value In Reference List“ (Ist Wert in Referenzliste). Grund: ERROR_REASON | Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Is Value In Reference List". Reason: the
following reference lists were not found in Google Chronicle:
MISSING_REFERENCE_LIST_NAME(S).
Please use the action "Get Reference Lists" to see what reference lists are
available.
|
Die Aktion ist fehlgeschlagen. Führen Sie die Aktion Referenzlisten abrufen aus, um nach verfügbaren Listen zu suchen. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Is Value In Reference List (Ist Wert in Referenzliste) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Assets auflisten
Mit der Aktion Assets auflisten können Sie Assets in Google SecOps SIEM anhand von zugehörigen Entitäten in einem angegebenen Zeitraum auflisten.
Diese Aktion unterstützt nur die Hashes MD5, SHA-1 und SHA-256.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
URLIP AddressHash
Aktionseingaben
Für die Aktion Assets auflisten sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Max Hours Backwards |
Die Anzahl der Stunden vor dem aktuellen Zeitpunkt, in denen die Assets abgerufen werden sollen.
Der Standardwert ist |
Create Insight |
Wenn diese Option ausgewählt ist, wird durch die Aktion ein Insight mit Informationen zu den Entitäten erstellt. Standardmäßig aktiviert. |
Max Assets To Return |
Die Anzahl der zurückzugebenden Assets. Der Standardwert ist |
Time Frame |
Optional. Ein Zeitraum, für den die Ergebnisse abgerufen werden sollen. Folgende Werte sind möglich:
Wenn Der Standardwert ist |
Start Time |
Die Startzeit im ISO 8601-Format. Dieser Parameter ist erforderlich, wenn der Parameter |
End Time |
Die Endzeit im ISO 8601-Format.
Wenn Sie keinen Wert festlegen und den Parameter |
Aktionsausgaben
Die Aktion List Assets (Assets auflisten) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Name: ENTITY_IDENTIFIER
Spalten:
- Hostname
- IP-Adresse
- Erstes gesehenes Artefakt
- Zuletzt gesehenes Artefakt
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Assets auflisten mit der Backstory API empfangen wird:
{
"assets": [
{
"asset": {
"hostname": "example"
},
"firstSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-02-28T09:18:15.675Z"
},
"lastSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-09-24T06:43:59Z"
}
}
],
"uri": [
"https://INSTANCE/domainResults?domain=www.example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2020-09-27T12%3A07%3A34.166830443Z"
]
}
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Assets auflisten mit der Chronicle API empfangen wird:
[
{
"Entity": "192.0.2.229",
"EntityResult": {
"assets": [
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Open Source Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2024-09-20T14:14:07.843Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Open Source Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "OPEN_SOURCE_INTEL_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "ex ",
"valueType": "DOMAIN_NAME"
}
},
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Active Breach Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2023-07-05T02:42:52.935Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Active Breach Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "MANDIANT_ACTIVE_BREACH_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "example.com",
"valueType": "DOMAIN_NAME"
}
}
],
"uri": "https://INSTANCE.backstory.chronicle.security/destinationIpResults?ADDRESS=192.0.2.229&selectedList=IpViewDistinctAssets&referenceTime=2025-01-23T11%3A16%3A24.517449Z"
}
}
]
Ausgabenachrichten
Die Aktion Assets auflisten gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully listed related assets for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "List Assets". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion List Assets beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ereignisse auflisten
Mit der Aktion Ereignisse auflisten können Sie Ereignisse für ein bestimmtes Asset innerhalb eines angegebenen Zeitraums auflisten.
Mit dieser Aktion können nur 10.000 Ereignisse abgerufen werden.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
IP addressMAC addressHostname
Aktionseingaben
Für die Aktion List Events sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Event Types |
Eine durch Kommas getrennte Liste von Ereignistypen.
Wenn kein Wert angegeben ist, werden alle Ereignistypen abgerufen. Eine Liste aller möglichen Werte finden Sie unter Mögliche Werte für den Ereignistyp. |
Time Frame |
Der angegebene Zeitraum. Wir empfehlen, ihn so klein wie möglich zu halten, um bessere Ergebnisse zu erzielen.
Wenn Wenn Folgende Werte sind möglich:
Der Standardwert ist |
Start Time |
Die Startzeit im ISO 8601-Format. Dieser Parameter ist erforderlich, wenn der Parameter |
End Time |
Die Endzeit im ISO 8601-Format. Wenn kein Wert angegeben wird und der Parameter Dieser Parameter akzeptiert den Wert |
Reference Time |
Die Referenzzeit für die Ereignissuche.
Wenn kein Wert angegeben ist, wird die Endzeit als Referenz verwendet. |
Output |
Erforderlich. Das Ausgabeformat. Folgende Werte sind möglich:
|
Max Events To Return |
Die Anzahl der Ereignisse, die für jeden Entitätstyp verarbeitet werden sollen. Der Standardwert ist |
Mögliche Werte für den Ereignistyp
Folgende Werte sind für den Parameter Event Type möglich:
EVENTTYPE_UNSPECIFIEDPROCESS_UNCATEGORIZEDPROCESS_LAUNCHPROCESS_INJECTIONPROCESS_PRIVILEGE_ESCALATIONPROCESS_TERMINATIONPROCESS_OPENPROCESS_MODULE_LOADREGISTRY_UNCATEGORIZEDREGISTRY_CREATIONREGISTRY_MODIFICATIONREGISTRY_DELETIONSETTING_UNCATEGORIZEDSETTING_CREATIONSETTING_MODIFICATIONSETTING_DELETIONMUTEX_UNCATEGORIZEDMUTEX_CREATIONFILE_UNCATEGORIZEDFILE_CREATIONFILE_DELETIONFILE_MODIFICATIONFILE_READFILE_COPYFILE_OPENFILE_MOVEFILE_SYNCUSER_UNCATEGORIZEDUSER_LOGINUSER_LOGOUTUSER_CREATIONUSER_CHANGE_PASSWORDUSER_CHANGE_PERMISSIONSUSER_STATSUSER_BADGE_INUSER_DELETIONUSER_RESOURCE_CREATIONUSER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_UPDATE_PERMISSIONSUSER_COMMUNICATIONUSER_RESOURCE_ACCESSUSER_RESOURCE_DELETIONGROUP_UNCATEGORIZEDGROUP_CREATIONGROUP_DELETIONGROUP_MODIFICATIONEMAIL_UNCATEGORIZEDEMAIL_TRANSACTIONEMAIL_URL_CLICKNETWORK_UNCATEGORIZEDNETWORK_FLOWNETWORK_CONNECTIONNETWORK_FTPNETWORK_DHCPNETWORK_DNSNETWORK_HTTPNETWORK_SMTPSTATUS_UNCATEGORIZEDSTATUS_HEARTBEATSTATUS_STARTUPSTATUS_SHUTDOWNSTATUS_UPDATESCAN_UNCATEGORIZEDSCAN_FILESCAN_PROCESS_BEHAVIORSSCAN_PROCESSSCAN_HOSTSCAN_VULN_HOSTSCAN_VULN_NETWORKSCAN_NETWORKSCHEDULED_TASK_UNCATEGORIZEDSCHEDULED_TASK_CREATIONSCHEDULED_TASK_DELETIONSCHEDULED_TASK_ENABLESCHEDULED_TASK_DISABLESCHEDULED_TASK_MODIFICATIONSYSTEM_AUDIT_LOG_UNCATEGORIZEDSYSTEM_AUDIT_LOG_WIPESERVICE_UNSPECIFIEDSERVICE_CREATIONSERVICE_DELETIONSERVICE_STARTSERVICE_STOPSERVICE_MODIFICATIONGENERIC_EVENTRESOURCE_CREATIONRESOURCE_DELETIONRESOURCE_PERMISSIONS_CHANGERESOURCE_READRESOURCE_WRITTENANALYST_UPDATE_VERDICTANALYST_UPDATE_REPUTATIONANALYST_UPDATE_SEVERITY_SCOREANALYST_UPDATE_STATUSANALYST_ADD_COMMENT
Aktionsausgaben
Die Aktion List Events (Ereignisse auflisten) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion List Events (Ereignisse auflisten) empfangen wird:
{
"statistics": {
"NETWORK_CONNECTION": 10
}
{
"events": [
{
"metadata": {
"eventTimestamp": "2020-09-28T14:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
},
{
"metadata": {
"eventTimestamp": "2020-09-28T17:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
}
],
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=user-example-pc&referenceTime=2020-09-28T17%3A00%3A00Z&selectedList=AssetViewTimeline&startTime=2020-09-28T14%3A20%3A00Z&endTime=2020-09-28T20%3A20%3A00Z"
]
}
}
Ausgabenachrichten
Die Aktion List Events (Ereignisse auflisten) gibt die folgenden Ausgabenachrichten zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully listed related events for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "List Events". Reason:
ERROR_REASON
|
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "List Events". Reason: invalid event type
is provided. Please check the spelling. Supported event types:
SUPPORTED_EVENT_TYPES
|
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Rechtschreibung. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ereignisse auflisten beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
IOCs auflisten
Mit der Aktion IOCs auflisten können Sie alle in Ihrem Unternehmen innerhalb eines bestimmten Zeitraums erkannten IOCs auflisten.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion IOCs auflisten sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Start Time |
Die Startzeit für die Ergebnisse im ISO 8601-Format. |
Max IoCs to Fetch |
Die maximale Anzahl der zurückzugebenden IoCs.
Der Bereich liegt zwischen Der Standardwert ist |
Aktionsausgaben
Die Aktion IOCs auflisten bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Spalten:
- Domain
- Kategorie
- Quelle
- Verlässlichkeit
- Schweregrad
- IOC-Aufnahmezeit
- IoC First Seen Time
- IoC Last Seen Time (Zeitpunkt des letzten Auftretens von IoC)
- URI
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion List IOCs (IOCs auflisten) empfangen wird:
{
"matches":[
{
"artifact":{
"domainName":"www.example.com"
},
"firstSeenTime":"2018-05-25T20:47:11.048998Z",
"iocIngestTime":"2019-08-14T21:00:00Z",
"lastSeenTime":"2019-10-24T16:19:46.880830Z",
"sources":[
{
"category":"Spyware Reporting Server",
"confidenceScore":{
"intRawConfidenceScore":0,
"normalizedConfidenceScore":"Low"
},
"rawSeverity":"Medium",
"source":"Example List"
}
],
"uri":["URI"]
}
],
"moreDataAvailable":true
}
Ausgabenachrichten
Die Aktion IOCs auflisten gibt die folgenden Ausgabenachrichten zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully listed IOCs from the provided timeframe in Google
Chronicle. |
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "List IOCs". Reason:
ERROR_REASON.
|
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion IOCs auflisten beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ähnliche Warnungen suchen
Mit der Aktion Lookup Similar Alerts (Ähnliche Benachrichtigungen suchen) können Sie in Google SecOps nach ähnlichen Benachrichtigungen suchen.
Aktionseingaben
Für die Aktion Lookup Similar Alerts sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Time Frame |
Der Zeitraum für die Ergebnisse. Für optimale Ergebnisse sollte der Zeitraum so kurz wie möglich sein.
Folgende Werte sind möglich:
|
IOCs / Assets |
Erforderlich. Eine durch Kommas getrennte Liste von IoCs oder Assets, die in den Benachrichtigungen gefunden werden sollen. Bei der Aktion wird für jedes bereitgestellte Element eine separate Suche durchgeführt. |
Similarity By |
Die Attribute, die zum Suchen ähnlicher Benachrichtigungen verwendet werden. Folgende Werte sind möglich:
Der Standardwert ist |
Funktionsweise des Parameters „Ähnlichkeit nach“
Der Parameter Similarity By wird bei Regelbenachrichtigungen und externen Benachrichtigungen unterschiedlich angewendet.
Wenn
Alert Name, Alert Type and ProductoderAlert Name, Alert Typeausgewählt ist:Bei externen Benachrichtigungen wird nach anderen externen Benachrichtigungen mit demselben Namen gesucht.
Bei Regelbenachrichtigungen werden mit der Aktion Benachrichtigungen verarbeitet, die von derselben Regel stammen.
Wenn
Productausgewählt ist:- Die Aktion verarbeitet Benachrichtigungen, die vom selben Produkt stammen, unabhängig davon, ob es sich um Regelbenachrichtigungen oder externe Benachrichtigungen handelt.
Eine Warnung, die von Crowdstrike stammt, wird beispielsweise nur mit anderen Warnungen von Crowdstrike abgeglichen.
Wenn
Only IOCs/Assetsausgewählt ist:Die Aktion entspricht Benachrichtigungen basierend auf den im Parameter
IOCs/Assetsangegebenen IOCs. Es wird sowohl in Regelbenachrichtigungen als auch in externen Benachrichtigungen nach diesen Indikatoren gesucht.Bei einer IOC-Benachrichtigung kann diese Aktion nur ausgeführt werden, wenn diese Option ausgewählt ist. Wenn eine andere Option angegeben wird, wird standardmäßig die Aktion
Only IOCs/Assetsausgeführt.
Die Aktion Ähnliche Benachrichtigungen suchen ist ein vielseitiges Tool zur Analyse von Benachrichtigungen. So können Analysten Warnungen aus demselben Zeitraum in Beziehung setzen und relevante Bedrohungsindikatoren extrahieren, um festzustellen, ob ein Vorfall ein echtes positives Ergebnis ist.
Aktionsausgaben
Die Aktion Lookup Similar Alerts (Ähnliche Benachrichtigungen suchen) liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Link zum Fall-Repository
Die Aktion Ähnliche Benachrichtigungen suchen kann die folgenden Links zurückgeben:
- CBN: GENERATED_LINK_BASED_ON_IU_ROOT_URL
- Regel: GENERATED_LINK_BASED_ON_IU_ROOT_URL
Tabelle „Fall-Repository“
Tabellenname: IOC/ASSET_IDENTIFIER
Tabellenspalten:
- Produkt
- Hostnamen
- IPs
- Nutzer
- E-Mail-Adressen
- Themen
- URLs
- Hashes
- Prozesse
- Zuerst erfasst
- Zuletzt gesehen
- Name der Benachrichtigung
- Allgemein
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die beim Verwenden der Aktion Lookup Similar Alerts (Ähnliche Benachrichtigungen suchen) empfangen wird:
{
"count": 123,
"distinct": [
{
"first_seen": "time of the first alert that matched our conditions",
"last_seen": "time of the last alert that matched our conditions",
"product_name": "product name",
"used_ioc_asset": "what user provided in the parameter IOCs and Assets",
"name": "Alert Name/Rule Name",
"hostnames": "csv list of unique hostnames that were found in alerts",
"urls": "csv list of unique urls that were found in alerts",
"ips": "csv list of unique ips that were found in alerts",
"subjects": "csv list of unique subjects that were found in alerts",
"users": "csv list of unique users that were found in alerts",
"email_addresses": "csv list of unique email_addresses that were found in alerts",
"hashes": "csv list of unique hashes that were found in alerts",
"processes": "csv list of unique processes that were found in alerts"
"rule_urls": ["Chronicle URL from API response for Rule"]
"count": 123
}
],
"processed_alerts": 10000,
"run_time": "how long it took to run the action or at least API request",
"EXTERNAL_url": "Chronicle URL from API response for EXTERNAL"
}
Ausgabenachrichten
Die Aktion Lookup Similar Alerts (Ähnliche Benachrichtigungen suchen) gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Lookup Similar Alerts". Reason:
ERROR_REASON
|
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Lookup Similar Alerts". Reason: all of the
retries are exhausted. Please wait for a minute and try again.
|
Die Aktion ist fehlgeschlagen. Warte einige Minuten, bevor du die Aktion noch einmal ausführst. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Lookup Similar Alerts (Ähnliche Benachrichtigungen suchen) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu Google SecOps zu testen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabenachrichten
Die Aktion Ping gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully connected to the Google Chronicle backstory with the
provided connection parameters! |
Die Aktion wurde erfolgreich ausgeführt. |
Failed to connect to the Google Chronicle backstory. Error is
ERROR_REASON
|
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Zeilen aus Datentabelle entfernen
Mit der Aktion Remove Rows From Data Table (Zeilen aus Datentabelle entfernen) können Sie Zeilen aus einer Datentabelle in Google SecOps entfernen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Zeilen aus Datentabelle entfernen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Data Table Name |
Erforderlich. Der Anzeigename der Datentabelle, die aktualisiert werden soll. |
Rows |
Erforderlich. Eine Liste von JSON-Objekten, die zum Suchen und Löschen von Zeilen verwendet werden. Nur gültige Spalten einbeziehen Der Standardwert ist: |
Aktionsausgaben
Die Aktion Zeilen aus Datentabelle entfernen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Zeilen aus Datentabelle entfernen empfangen wird:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
Ausgabenachrichten
Für die Aktion Zeilen aus Datentabelle entfernen werden die folgenden Ausgabemeldungen bereitgestellt:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully removed rows from the data table
DATA_TABLE_NAME in
Google SecOps.
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Remove Rows From Data Table". Reason:
ERROR_REASON
|
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Zeilen aus Datentabelle entfernen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Werte aus der Referenzliste entfernen
Mit der Aktion Remove Values From Reference List (Werte aus Referenzliste entfernen) können Sie Werte aus einer Referenzliste in Google SecOps entfernen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Werte aus Referenzliste entfernen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Reference List Name |
Erforderlich. Der Name der zu aktualisierenden Referenzliste. |
Values |
Erforderlich. Eine durch Kommas getrennte Liste von Werten, die aus der Referenzliste entfernt werden sollen. |
Aktionsausgaben
Die Aktion Werte aus Referenzliste entfernen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Remove Values From Reference List (Werte aus Referenzliste entfernen) mit der Backstory API empfangen wird:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die beim Verwenden der Aktion Remove Values From Reference List (Werte aus Referenzliste entfernen) mit der Chronicle API empfangen wird:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/<var class="readonly">REFERENCE_LIST_NAME</var>' }}",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Ausgabenachrichten
Die Aktion Werte aus Referenzliste entfernen gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully removed values from the reference list.
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Remove Values From Reference List". Reason:
ERROR_REASON
|
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Werte aus Referenzliste entfernen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Connectors
Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).
Google Chronicle – Chronicle Alerts Connector
Mit dem Google Chronicle – Chronicle Alerts Connector können Sie Informationen zu regelbasierten Benachrichtigungen aus Google SecOps SIEM abrufen.
Übersicht
Der Google Chronicle – Chronicle Alerts Connector erfasst mehrere Benachrichtigungstypen aus Google SecOps SIEM.
Wichtige Funktionen und Betriebsdetails:
Fragt Daten innerhalb eines einwöchigen Zeitraums ab.
Um zu verhindern, dass Benachrichtigungen aufgrund von Indexierungsverzögerungen verpasst werden, können ein Pufferzeitraum und ein erhöhtes Connector-Zeitlimit konfiguriert werden. Ein erheblicher Puffer kann sich jedoch negativ auf die Leistung auswirken.
Dynamische Listen für eine flexible Konfiguration.
Stellt einen
Fallback Severityfür Benachrichtigungen ohne Schweregradwert bereit.Zum Erfassen von IoCs muss in Google SecOps SIEM eine entsprechende Erkennungsregel erstellt werden, die auf Grundlage der IoCs Benachrichtigungen generiert.
Filter für dynamische Liste
Die dynamische Liste wird verwendet, um Benachrichtigungen direkt auf der Seite für die Connector-Konfiguration zu filtern.
Operatorlogik
In der dynamischen Liste wird eine Kombination aus AND- und OR-Logik verwendet, um Filterregeln zu verarbeiten:
OR-Logik: Werte in derselben Zeile, die durch ein Komma getrennt sind, werden mit derOR-Logik behandelt (z. B.Rule.severity = low,mediumbedeutetlowODERmedium-Schweregrad).AND-Logik: Jede separate Zeile in der dynamischen Liste wird mit derAND-Logik behandelt. Eine Zeile fürRule.severityund eine Zeile fürRule.ruleNamebedeutet alsoseverityUNDruleName.Die unterstützten Operatoren (
=,!=,>,<,>=,<=) variieren je nach Filterschlüssel.
Im Folgenden finden Sie Beispiele für die Verwendung von Operatorregeln:
- Rule.severity = medium: Der Connector nimmt nur Regelbenachrichtigungen mit dem Schweregrad „Mittel“ auf.
- Rule.severity = low,medium: Der Connector nimmt nur Regelbenachrichtigungen mit mittlerem oder niedrigem Schweregrad auf.
- Rule.ruleName = default_rule: Der Connector nimmt nur Regelbenachrichtigungen mit dem Namen
default_ruleauf.
Unterstützte Filter
Der Chronicle Alerts Connector unterstützt das Filtern nach den folgenden Schlüsseln:
| Filterschlüssel | Antwortschlüssel | Operatoren | Mögliche Werte |
|---|---|---|---|
Rule.severity |
detection oder ruleLabels oder severity |
=, !=, >, <,
>=, <= |
Bei den Werten wird die Groß-/Kleinschreibung nicht berücksichtigt. |
Rule.ruleName |
detection oder ruleName |
=, != |
Vom Nutzer definiert. |
Rule.ruleID |
detection oder ruleId |
=, != |
Vom Nutzer definiert. |
Rule.ruleLabels.{key} |
detection oder ruleLabels |
=, != |
Vom Nutzer definiert. |
Umgang mit ruleLabels
Wenn Sie innerhalb einer Regel nach einem bestimmten Label filtern möchten, verwenden Sie das Format Rule.ruleLabels.{key}.
Wenn Sie beispielsweise nach einem Label mit dem Schlüssel type und dem Wert suspicious_behaviour filtern möchten, sollte die Eingabe für die dynamische Liste so aussehen:
Rule.ruleLabels.type=suspicious_behaviour
Connector-Eingaben
Für den Chronicle Alerts Connector sind die folgenden Parameter erforderlich:
Der Standardwert ist Medium.
| Parameter | Beschreibung |
|---|---|
Product Field Name |
Erforderlich. Der Name des Felds, in dem der Produktname gespeichert ist. Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst. Der Standardwert ist |
Event Field Name |
Erforderlich. Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt. |
Environment Field Name |
Optional. Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional. Ein Muster für einen regulären Ausdruck, der für den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Script Timeout (Seconds) |
Erforderlich. Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. Der Standardwert ist |
API Root |
Erforderlich. Der API-Root der Google SecOps-SIEM-Instanz. Google SecOps bietet regionale Endpunkte für jede API, z. B. Wenden Sie sich an Cloud Customer Care, um herauszufinden, welcher Endpunkt verwendet werden soll. Der Standardwert ist |
User's Service Account |
Erforderlich. Der vollständige JSON-Inhalt des Dienstkontos, das für die Authentifizierung verwendet wird. |
Fallback Severity |
Erforderlich. Der Standard-Schweregrad, der verwendet werden soll, wenn die Benachrichtigung von Google SecOps SIEM keinen Schweregradwert enthält. Folgende Werte sind möglich:
|
Max Hours Backwards |
Optional. Die Anzahl der Stunden vor dem ersten Connector-Lauf, ab denen Vorfälle abgerufen werden sollen. Dieser Parameter wird nur einmal angewendet. Der Höchstwert beträgt Der Standardwert ist |
Max Alerts To Fetch |
Optional. Die Anzahl der Warnungen, die in jeder Connector-Iteration verarbeitet werden sollen. Der Standardwert ist |
Disable Event Splitting |
Optional. Wenn diese Option ausgewählt ist, werden Originalereignisse nicht in mehrere Teile aufgeteilt. So stimmt die Anzahl der Ereignisse zwischen der Quelle und Google SecOps SOAR überein. Standardmäßig nicht aktiviert. |
Verify SSL |
Erforderlich. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Google SecOps SIEM-Server validiert. Standardmäßig aktiviert. |
Proxy Server Address |
Optional. Die Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional. Der Proxy-Nutzername für die Authentifizierung. |
Proxy Password |
Optional. Das Proxy-Passwort für die Authentifizierung. |
Disable Overflow |
Optional. Wenn diese Option ausgewählt ist, ignoriert der Connector den Google SecOps-Überlaufmechanismus. Standardmäßig nicht aktiviert. |
Connector-Regeln
Der Google Chronicle – Chronicle Alerts Connector unterstützt Proxys.
Connector-Ereignisse
Der Google Chronicle – Chronicle Alerts Connector verarbeitet drei Arten von Ereignissen aus Google SecOps SIEM.
Regelbasierte Benachrichtigungen
Dieser Ereignistyp wird von einer Erkennungsregel in Google SecOps SIEM generiert.
{
"alert_type": "RULE",
"event_type": "NETWORK_DHCP",
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "d3_test",
"urlBackToProduct": "https://INSTANCE/ruleDetections?ruleId=ru_74dd17e2-5aad-4053-acd7-958bead014f2&selectedList=RuleDetectionsViewTimeline&selectedParentDetectionId=de_b5dadaf4-b398-325f-9f09-833b71b3ffbb&selectedTimestamp=2022-02-08T05:02:36Z&versionTimestamp=2020-11-19T18:19:11.951951Z",
"ruleId": "ru_74dd17e2-5aad-4053-acd7-958bead014f2",
"ruleVersion": "ru_74dd17e2-5aad-4053-acd7-958bead014f2@v_1605809951_951951000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT",
"ruleLabels": [
{
"key": "author",
"value": "analyst123"
},
{
"key": "description",
"value": "8:00 AM local time"
},
{
"key": "severity",
"value": "Medium"
}
]
}
],
"createdTime": "2022-02-08T06:07:33.944951Z",
"id": "de_b5dadaf4-b398-325f-9f09-833b71b3ffbb",
"timeWindow": {
"startTime": "2022-02-08T05:02:36Z",
"endTime": "2022-02-08T05:02:36Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2022-02-08T05:02:36Z",
"eventType": "NETWORK_DHCP",
"productName": "Infoblox DHCP",
"ingestedTimestamp": "2022-02-08T05:03:03.892234Z"
},
"principal": {
"ip": [
"198.51.100.255",
"198.51.100.1"
],
"mac": [
"01:23:45:ab:cd:ef"
],
"email_address": [
"example@example.com"
]
},
"target": {
"hostname": "dhcp_server",
"ip": [
"198.51.100.0",
"198.51.100.1"
]
},
"network": {
"applicationProtocol": "DHCP",
"dhcp": {
"opcode": "BOOTREQUEST",
"ciaddr": "198.51.100.255",
"giaddr": "198.51.100.0",
"chaddr": "01:23:45:ab:cd:ef",
"type": "REQUEST",
"clientHostname": "example-user-pc",
"clientIdentifier": "AFm/LDfjAw=="
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2022-02-08T05:02:36Z"
}
Externe Benachrichtigungen
Dieser Ereignistyp basiert auf einer externen Benachrichtigung, die in Google SecOps SIEM aufgenommen wird.
{
"alert_type": "External",
"event_type": "GENERIC_EVENT",
"name": "Authentication failure [32038]",
"sourceProduct": "Internal Alert",
"severity": "Medium",
"timestamp": "2020-09-30T18:03:34.898194Z",
"rawLog": "U2VwIDMwIDE4OjAzOjM0Ljg5ODE5NCAxMC4wLjI5LjEwOSBBdXRoZW50aWNhdGlvbiBmYWlsdXJlIFszMjAzOF0=",
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=198.51.100.109&namespace=[untagged]&referenceTime=2020-09-30T18%3A03%3A34.898194Z&selectedList=AssetViewTimeline&startTime=2020-09-30T17%3A58%3A34.898194Z&endTime=2020-09-30T18%3A08%3A34.898194Z&selectedAlert=-610875602&selectedEventTimestamp=2020-09-30T18%3A03%3A34.898194Z"
],
"event": {
"metadata": {
"eventTimestamp": "2020-09-30T18:03:34.898194Z",
"eventType": "GENERIC_EVENT",
"productName": "Chronicle Internal",
"ingestedTimestamp": "2020-09-30T18:03:34.991592Z"
},
"target": [
{
"ip": [
"198.51.100.255",
"198.51.100.1"
]
}
],
"securityResult": [
{
"summary": "Authentication failure [32038]",
"severityDetails": "Medium"
}
]
}
}
IoC-Benachrichtigungen
Dieser Ereignistyp entspricht einer vordefinierten Liste von IoCs.
{
"alert_type": "IOC",
"event_type": "IOC Alert",
"artifact": {
"domainName": "example.com"
},
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2020-09-07T11:00:00Z",
"firstSeenTime": "2018-10-03T00:01:59Z",
"lastSeenTime": "2022-02-04T20:02:29.191Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-08T15%3A08%3A52.434022777Z"
]
}
Struktur von Benachrichtigungen
In der folgenden Tabelle wird beschrieben, wie der Google Chronicle – Chronicle Alerts Connector die Attribute einer Benachrichtigung in Google SecOps ausfüllt. Die Benachrichtigungsattribute sind zur besseren Übersicht nach Herkunft und Benachrichtigungstyp gruppiert.
Intern generierte Attribute
Diese Attribute werden vom Framework generiert und sind für alle Benachrichtigungstypen einheitlich.
| Name des Benachrichtigungsattributs | Quelle |
|---|---|
SourceSystemName |
Intern vom Framework generiert. |
TicketId |
Der Wert wird aus der Datei ids.json übernommen. |
DisplayId |
Automatisch generiert. |
Attribute für alle Benachrichtigungstypen
Diese Attribute werden aus der Quellbenachrichtigung abgeleitet, ihr Quellschlüssel variiert jedoch je nach Benachrichtigungstyp.
| Name des Benachrichtigungsattributs | Quelle |
|---|---|
Priority |
Aus der API-Antwort oder dem Parameter Fallback Severity. |
DeviceVendor |
Der hartcodierte Wert ist Google Chronicle. |
DeviceProduct |
Ein fest codierter Wert, der vom Benachrichtigungstyp abhängt: RULE für Benachrichtigungen zur Regelerkennung, IOC für IOC-Übereinstimmungen oder EXTERNAL für externe Benachrichtigungen. |
Description |
Bei regelbasierten Benachrichtigungen stammt diese Information aus detection/ruleLabels/description (sofern vorhanden). Nicht für andere Benachrichtigungstypen verfügbar. |
Reason |
Nicht verfügbar. |
SourceGroupingIdentifier |
Nicht verfügbar. |
Chronicle Alert - Attachments |
Nicht verfügbar. |
Bestimmte Benachrichtigungstypen
Diese Attribute sind spezifisch für den Ursprung der Benachrichtigung, sodass leichter nachvollziehbar ist, wie sie ausgefüllt werden.
| Name des Benachrichtigungsattributs | Regelbasierte Benachrichtigungen | IOC-basierte Benachrichtigungen | Externe Warnungen |
|---|---|---|---|
Name |
detection/ruleName |
IOC Alert (hartcodiert) |
alertInfos/name |
RuleGenerator |
detection/ruleName |
IOC Alert (hartcodiert) |
alertInfos/name |
StartTime und EndTime |
timeWindow oder startTime |
lastSeenTime |
timestamp |
Chronicle Alert - Extensions |
rule_id (ruleId), product_name (CSV-Datei eines Ereignisses oder von Metadaten oder ein productName-Wert) |
Nicht zutreffend | alert_name (name), product_name (CSV-Datei eines UDM-Ereignisses oder von Metadaten oder ein productName-Wert) |
Verworfen: Google Chronicle – Alerts Connector
Dieser Connector ruft Asset-Benachrichtigungen aus Google SecOps SIEM ab und wandelt sie in Google SecOps SIEM-Benachrichtigungen um.
Sie können sich mit der Google-Bibliothek mit google.oauth2.service_account und AuthorizedSession authentifizieren.
Für diesen Connector ist die SIEM Search API von Google SecOps erforderlich.
Connector-Eingaben
Für den Alerts Connector sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Product Field Name |
Erforderlich.
Der Name des Felds, in dem der Produktname gespeichert ist. Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst. Der Standardwert ist |
Environment Field Name |
Optional. Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional. Ein Muster für einen regulären Ausdruck, der für den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Script Timeout (Seconds) |
Erforderlich. Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. Der Standardwert ist |
Service Account Credentials |
Erforderlich. Der Inhalt der JSON-Datei des Dienstkontos. |
Fetch Max Hours Backwards |
Optional. Die Anzahl der Stunden vor dem ersten Connectorlauf, ab dem Vorfälle abgerufen werden sollen. Dieser Parameter wird nur einmal angewendet. Der Höchstwert beträgt Der Standardwert ist |
Verworfen: Google Chronicle – IoCs Connector
Verwenden Sie stattdessen den Chronicle Alerts Connector.
Dieser Connector ruft die IOC-Domain-Übereinstimmungen aus Google SecOps SIEM ab und wandelt sie in Google SecOps SIEM-Benachrichtigungen um.
Sie können sich mit der Google-Bibliothek mit google.oauth2.service_account und AuthorizedSession authentifizieren.
Dieser Connector verwendet die Google SecOps SIEM Search API.
Connector-Eingaben
Für den Google Chronicle – IoCs Connector sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Product Field Name |
Erforderlich.
Der Name des Felds, in dem der Produktname gespeichert ist. Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst. Der Standardwert ist |
Environment Field Name |
Optional. Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional. Ein Muster für einen regulären Ausdruck, der für den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Script Timeout (Seconds) |
Erforderlich. Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. Der Standardwert ist |
Service Account Credentials |
Erforderlich. Der Inhalt der JSON-Datei des Dienstkontos. |
Fetch Max Hours Backwards |
Optional. Die Anzahl der Stunden vor dem ersten Connector-Lauf, aus denen Warnungen abgerufen werden sollen. Dieser Parameter wird nur einmal angewendet. Der Höchstwert beträgt Der Standardwert ist |
Max Alerts To Fetch |
Optional. Die maximale Anzahl von Benachrichtigungen, die in jeder Connector-Iteration verarbeitet werden sollen. Der Standardwert ist |
Jobs
Weitere Informationen zu Jobs finden Sie unter Neuen Job konfigurieren und Erweiterte Planung.
Voraussetzungen für die Jobkonfiguration
Bevor Sie mit der Jobkonfiguration fortfahren, konfigurieren Sie den Chronicle Alerts Connector.
So konfigurieren Sie Google Chronicle-Jobs:
Rufen Sie in Google SecOps SOAR Response > Job Scheduler auf.
Klicken Sie auf HinzufügenNeuen Job erstellen.
Wählen Sie im angezeigten Dialogfeld Job hinzufügen den entsprechenden Google Chronicle-Job aus und klicken Sie auf Speichern.
Optional: Bearbeiten Sie bei Bedarf den Jobnamen und die Beschreibung.
Im Abschnitt Jobdetails:
- Achten Sie darauf, dass im Feld Integration die Option GoogleChronicle ausgewählt ist.
Wenn der Job automatisch in bestimmten Intervallen ausgeführt werden soll, richten Sie ein Scheduler-Intervall ein. Die Konfiguration des Planers ist erforderlich, um die Jobkonfiguration abzuschließen.
Da Google Chronicle-Jobs große Datenmengen in einem Lauf synchronisieren können, empfiehlt Google, das Scheduler-Intervall auf mindestens 2 Minuten festzulegen.
Google Chronicle – Synchronisierungsauftrag für Daten
Dieser Job funktioniert mit Benachrichtigungen, die vom Chronicle Alerts Connector und vom Job Chronicle Alerts Creator erstellt wurden, aber nicht mit Benachrichtigungen von eingestellten Connectors (Alerts Connector und IOCs Connector).
Mit dem Job Google Chronicle Sync Data werden aktualisierte Google SecOps-Benachrichtigungen und ‑Supportanfragen, die in Google SecOps SOAR verwaltet werden, mit Google SecOps SIEM synchronisiert. Daher können Sie dieselben Informationen in beiden Systemen sofort nachverfolgen, nachdem Sie Änderungen in Google SecOps SOAR vorgenommen haben.
Datensynchronisierung von Anfragen und Benachrichtigungen
Mit dem Job Google Chronicle Sync Data werden die folgenden Felder für Fälle verfolgt und synchronisiert:
| Beobachtetes Feld | Synchronisiertes Feld |
|---|---|
Priority |
Priority |
Status |
Status |
Title |
Title |
| Nicht zutreffend | Stage |
| Nicht zutreffend | Google SecOps Case ID |
| Nicht zutreffend | Google SecOps Case ID |
Die Google SecOps-Vorgangs-ID ist eine eindeutige Vorgangskennung in Google SecOps SOAR und Google SecOps SIEM.
Der Job Google Chronicle Sync Data verfolgt und synchronisiert die folgenden Felder für Benachrichtigungen:
| Beobachtetes Feld | Synchronisiertes Feld |
|---|---|
Priority |
Priority |
Status |
Status |
Case ID |
Nicht zutreffend |
| Nicht zutreffend | Google SecOps Alert ID |
| Nicht zutreffend | Google SecOps Case ID |
| Nicht zutreffend | Verdict |
| Nicht zutreffend | Closure Comment |
| Nicht zutreffend | Closure Reason |
| Nicht zutreffend | Closure Root Cause |
| Nicht zutreffend | Usefulness |
Die Google SecOps-Benachrichtigungs-ID ist eine eindeutige Benachrichtigungs-ID in Google SecOps SOAR.
In einer Iteration werden bis zu 1.000 Vorgänge und 1.000 Benachrichtigungen synchronisiert. Die Synchronisierung erfolgt in der Google SecOps SOAR-Umgebung, die in der Jobkonfiguration angegeben ist. Der Synchronisierungsmechanismus sorgt dafür, dass ein Fall aus der angegebenen Umgebung nicht mit einer anderen Umgebung synchronisiert werden kann.
Google Chronicle Sync Data-Job konfigurieren
Mit diesem Job werden nur Google SecOps SOAR-Vorgänge synchronisiert, die aus Google SecOps SIEM übernommen wurden.
Achten Sie darauf, dass Sie die erforderlichen Schritte ausgeführt haben, bevor Sie diesen Job konfigurieren.
So konfigurieren Sie den Job Google Chronicle Sync Data:
Konfigurieren Sie im Bereich Parameter die folgenden Parameter:
Parameter Beschreibung EnvironmentErforderlich.
Der Name der Umgebung, die in Google SecOps SOAR erstellt wurde, um Supportanfragen und Benachrichtigungen zu synchronisieren.
API RootErforderlich.
Der API-Root der Google SecOps SIEM-Instanz.
Google SecOps bietet regionale Endpunkte für jede API.
Beispiel:
https://europe-backstory.googleapis.comoderhttps://asia-southeast1-backstory.googleapis.com.Wenn Sie nicht wissen, welchen Endpunkt Sie verwenden sollen, [wenden Sie sich an Cloud Customer Care](/chronicle/docs/getting-support).
Der Standardwert ist
https://backstory.googleapis.com.User's Service AccountErforderlich.
Der Inhalt der JSON-Datei des Dienstkontos Ihrer Google SecOps SIEM-Instanz.
Max Hours BackwardsOptional.
Die Anzahl der Stunden, aus denen Benachrichtigungen abgerufen werden sollen. Verwenden Sie nur positive Zahlen.
Der Standardwert ist
24.Verify SSLErforderlich.
Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Google SecOps SIEM-Server validiert.
Standardmäßig aktiviert.
Der Job Google Chronicle Sync Data ist standardmäßig aktiviert. Wenn Sie den korrekt konfigurierten Job speichern, werden die Daten sofort mit Google SecOps SIEM synchronisiert. Wenn Sie den Job deaktivieren möchten, stellen Sie den Schalter neben dem Jobnamen auf „Aus“.
Klicken Sie auf Speichern, um die Konfiguration abzuschließen.
Wenn die Schaltfläche Speichern inaktiv ist, haben Sie möglicherweise nicht alle erforderlichen Parameter festgelegt.
Optional: Wenn Sie den Job sofort nach dem Speichern ausführen möchten, klicken Sie auf Jetzt ausführen.
Mit der Option Jetzt ausführen können Sie einen einzelnen Joblauf auslösen, bei dem die aktuellen Daten zu Benachrichtigungen und Fällen von Google SecOps SOAR mit Google SecOps SIEM synchronisiert werden.
Logeinträge
In der folgenden Tabelle sind mögliche Logmeldungen für den Job Google Chronicle Data Sync aufgeführt:
| Logeintrag | Typ | Beschreibung |
|---|---|---|
Unable to parse credentials as JSON. Please validate creds.
|
Fehler | Das im Parameter User's Service Account angegebene Dienstkonto ist beschädigt. |
"Max Hours Backwards" parameter must be a positive number. |
Fehler | Der Parameter Max Hours backwards ist auf 0 oder eine negative Zahl festgelegt. |
Current platform version does not support SDK methods designed for
Google SecOps. Please use version 6.1.33 or higher. |
Fehler | Die aktuelle Version der Google SecOps-Plattforminstanz unterstützt die Ausführung des Job-Scripts für die Synchronisierung von Chronicle-Daten nicht. Das bedeutet, dass die Build-Version der Instanz älter als 6.1.33 ist. |
Unable to connect to Google SecOps, please validate
your credentials: CREDENTIALS |
Fehler | Das Dienstkonto oder die API-Stammwerte konnten nicht anhand der Google SecOps SIEM-Instanz validiert werden. Dieser Fehler wird gemeldet, wenn der Konnektivitätstest fehlschlägt. |
--- Start Processing Updated Cases --- |
Info | Die Fallbearbeitungsschleife wurde gestartet. |
Last success time. Date time:DATE_AND_TIME.
Unix:UNIX_EPOCH_TIME
|
Info | Der Zeitstempel der letzten erfolgreichen Skriptausführung für Fälle oder Benachrichtigungen:
|
Key: "DATABASE_KEY" does not exist in the
database. Returning default
value instead: DEFAULT_VALUE |
Info | Der ausstehende Fall oder der Datenbankschlüssel für die Benachrichtigung ist in der Datenbank nicht vorhanden. Dieser Logeintrag wird immer bei der ersten Ausführung des Skripts angezeigt. |
Failed to parse data as JSON. Returning default value instead:
"DEFAULT_VALUE. ERROR:
ERROR |
Fehler | Der aus der Datenbank abgerufene Wert hat kein gültiges JSON-Format. |
Exception was raised from the database. ERROR:
ERROR. |
Fehler | Es gibt ein Verbindungsproblem mit der Datenbank. |
|
Info | Die IDs der ausstehenden Fälle oder Benachrichtigungen wurden erfolgreich aus dem Backlog abgerufen. CASE_IDS ist die Anzahl der Fall‑IDs. |
|
Fehler | Die Anzahl der aus der Datenbank abgerufenen ausstehenden Fälle oder Benachrichtigungs-IDs überschreitet das Limit (1.000). Alle IDs, die das Limit überschreiten, werden ignoriert. Dieser Fehler kann auf eine mögliche Beschädigung der Datenbank hinweisen. |
|
Info | Die neu aktualisierten Fall- oder Benachrichtigungs-IDs wurden erfolgreich von der Plattform abgerufen. |
|
Info | Die Aktualisierung von Fällen und Benachrichtigungen in der Google SecOps SIEM-Instanz wurde gestartet. |
|
Fehler | Der angegebene Fall oder die angegebene Benachrichtigung kann nicht mit Google SecOps SIEM synchronisiert werden. |
|
Info | Das angegebene ausstehende Case oder der angegebene ausstehende Hinweis hat das Limit für Synchronisierungsversuche (5) erreicht und wird nicht wieder in den Backlog eingefügt. |
|
Info | Die Liste der Fall- oder Benachrichtigungs-IDs, die nicht mit Google SecOps SIEM synchronisiert werden können. |
Updated External Case IDs for the following cases:
CASE_IDS |
Info | Die Liste der Fälle, für die durch den Job die entsprechende externe Fall-ID von Google SecOps SIEM in der Google SecOps SOAR-Plattform aktualisiert wurde. |
Failed to update external ids. |
Fehler | Der Logeintrag, der angibt, dass ein Problem mit der SDK-Methode oder -Verbindung aufgetreten ist, das die Aktualisierung externer Fall-IDs auf der Plattform verhindert hat. |
|
Fehler | Der Logeintrag, der angibt, dass ein bestimmter schwerwiegender Fehler aufgetreten ist, der verhindert hat, dass die Verarbeitungsschleife für den Fall oder die Benachrichtigungen normal beendet wurde. Der Stacktrace wird nach diesem Log mit dem spezifischen Fehler ausgegeben. |
|
Info | Die Verarbeitungsschleife für Fälle und Benachrichtigungen wurde entweder auf natürliche Weise oder mit einem Fehler beendet. |
|
Fehler | Die Liste der fehlgeschlagenen Fall- oder Benachrichtigungs-IDs, deren Anzahl der Wiederholungsversuche kleiner oder gleich 5 ist, die in den Backlog zurückgeschrieben werden sollen. |
|
Info | Die Bearbeitungsphase für den Fall und die Benachrichtigung ist abgeschlossen. |
Saving timestamps. |
Info | Die Zeitstempel der letzten erfolgreichen Aktualisierung von Fall und Benachrichtigung werden in der Datenbank gespeichert. |
Saving pending ids. |
Info | Ausstehende Fall- und Benachrichtigungs-IDs werden in der Datenbank gespeichert. |
Got exception on main handler. Error:
ERROR_REASON |
Fehler | Ein allgemeiner Kündigungsfehler ist aufgetreten. Der Stacktrace wird nach diesem Log mit dem spezifischen Fehler ausgegeben. |
Google Chronicle Alerts Creator
Für den Job Google Chronicle Alerts Creator ist die Google SecOps-Plattformversion 6.2.30 oder höher erforderlich.
Mit diesem Job werden alle Benachrichtigungen aus Google SecOps SOAR in Google SecOps SIEM erstellt, einschließlich Überlaufbenachrichtigungen. Mit dem Job Google Chronicle Alerts Creator werden keine Benachrichtigungen repliziert, die von Google SecOps stammen.
Der Job Google Chronicle Alerts Creator fragt die SOAR-Plattform mithilfe des Python SDK nach nicht synchronisierten Benachrichtigungen ab. Der Job sendet nicht synchronisierte Benachrichtigungen einzeln an das SIEM. SIEM aktualisiert und gibt die Kennungen der entsprechenden SIEM-Benachrichtigungen zurück. SOAR speichert die Kennungen über die SOAR-Plattform-API über das Python SDK.
Beziehung zwischen den Google Chronicle-Jobs
Ein vollständiges Google SecOps-System führt die folgenden drei Komponenten gleichzeitig aus:
- Chronicle Alerts Connector
- Google Chronicle Sync Data-Job
- Google Chronicle Alerts Creator-Job
Mit dem Job Google Chronicle Sync Data werden Fälle erstellt und synchronisiert. Außerdem werden die Änderungen an Anfragen und Benachrichtigungen synchronisiert, z. B. Prioritätsänderungen.
Mit dem Job Google Chronicle Alerts Creator werden alle Benachrichtigungen mit Ausnahme von SIEM-Benachrichtigungen generiert. Der Job Google Chronicle Sync Data (Google Chronicle-Synchronisierungsdaten) sendet Updates zu nicht synchronisierten Benachrichtigungen, nachdem der Job Google Chronicle Alerts Creator (Google Chronicle-Benachrichtigungen erstellen) die Benachrichtigungen erstellt hat.
Datensynchronisierung von Anfragen und Benachrichtigungen
Vorgänge werden auf dieselbe Weise wie beim Google Chronicle Sync-Datenjob synchronisiert.
In Google SecOps SIEM wird jede Benachrichtigung mit einer SIEM-Benachrichtigungs-ID identifiziert. SOAR-Benachrichtigungen können in zwei Szenarien eine SIEM-Kennung übernehmen:
Die Benachrichtigung wird im SIEM generiert.
Dieser Alert ist bereits in Google SecOps SIEM vorhanden und muss nicht dupliziert werden. Der Connector füllt das Feld
siem_alert_idaus.Die Benachrichtigung wird in Drittanbieter-Connectors generiert.
Diese Benachrichtigung ist in Google SecOps SIEM nicht vorhanden und erfordert einen expliziten Synchronisierungsvorgang, für den der Job Google Chronicle Alerts Creator verantwortlich ist. Nach Abschluss der Synchronisierung erhält die Benachrichtigung eine neue SIEM-Kennung.
Google Chronicle Alerts Creator-Job konfigurieren
Führen Sie die erforderlichen Schritte aus, bevor Sie den Job konfigurieren.
So konfigurieren Sie den Job Google Chronicle Alerts Creator:
Konfigurieren Sie die Jobparameter anhand der folgenden Tabelle:
Parameter Beschreibung EnvironmentErforderlich.
Der Name der Umgebung, die in Google SecOps SOAR erstellt wurde und in der Sie Supportanfragen und Benachrichtigungen synchronisieren möchten.
API RootErforderlich.
Der API-Root der Google SecOps SIEM-Instanz.
Google SecOps bietet regionale Endpunkte für jede API.
Beispiel:
https://europe-backstory.googleapis.comoderhttps://asia-southeast1-backstory.googleapis.com.Wenn Sie nicht wissen, welchen Endpunkt Sie verwenden sollen, [wenden Sie sich an Cloud Customer Care](/chronicle/docs/getting-support).
Der Standardwert ist
https://backstory.googleapis.com.User's Service AccountErforderlich.
Der Inhalt der JSON-Datei des Dienstkontos Ihrer Google SecOps SIEM-Instanz.
Verify SSLErforderlich.
Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Google SecOps SIEM-Server validiert.
Standardmäßig aktiviert.
Klicken Sie auf Speichern, um die Konfiguration abzuschließen.
Wenn die Schaltfläche Speichern inaktiv ist, haben Sie möglicherweise nicht alle erforderlichen Parameter festgelegt.
Optional: Wenn Sie den Job sofort nach dem Speichern ausführen möchten, klicken Sie auf Jetzt ausführen.
Mit der Option Jetzt ausführen können Sie einen einzelnen Joblauf auslösen, bei dem die aktuellen Daten zu Benachrichtigungen und Fällen von Google SecOps SOAR mit Google SecOps SIEM synchronisiert werden.
Log-Meldungen und Fehlerbehandlung
| Log | Level | Beschreibung |
|---|---|---|
|
FEHLER | Das im Parameter „Dienstkonto des Nutzers“ angegebene Dienstkonto ist beschädigt. |
|
FEHLER | Die aktuelle Version der Google SecOps-Plattforminstanz unterstützt die Ausführung des Google Chronicle Alerts Creator Job-Skripts nicht. Dieser Fehler bedeutet, dass die Build-Version der Instanz älter als 6.2.30 ist. |
|
FEHLER | Die Dienstkonto- oder API-Stammwerte können nicht anhand der Google SecOps SIEM-Instanz validiert werden. Dieser Fehler wird gemeldet, wenn der Konnektivitätstest fehlschlägt. |
|
INFO | Logmeldung, die angibt, dass der Job gestartet wurde. |
|
INFO | Logmeldung, die angibt, dass die Hauptfunktion gestartet wurde. |
|
INFO | Protokollnachricht mit der Iterationsnummer für den aktuellen aufeinanderfolgenden Versuch. |
|
INFO | Protokollmeldung, die angibt, dass der Code nicht mehr als BATCH_SIZE neue Benachrichtigungen von SOAR abruft. |
|
INFO | Protokollmeldung, die angibt, dass NUMBER_OF_NEW_ALERTS SOAR-Benachrichtigungen abgerufen wurden. |
|
INFO | Protokollmeldung, die angibt, dass keine neuen SOAR-Benachrichtigungen gefunden wurden und der Job beendet wird. |
|
INFO | Protokollnachricht, die angibt, dass der Job die SOAR-Benachrichtigungen mit den folgenden Kennungen in der ID-Liste abgerufen hat. Anhand dieser Informationen können Sie den Fortschritt des Jobs verfolgen und Probleme mit dem Code beheben. |
|
INFO | Protokollmeldung, die angibt, dass der Job SOAR-Benachrichtigungen an SIEM sendet. |
|
FEHLER | Protokollmeldung, die angibt, dass die Benachrichtigung aufgrund eines Fehlers nicht erfolgreich in SIEM erstellt wurde. |
|
INFO | Protokollmeldung, die angibt, dass der Job SOAR mit der SIEM-Antwort aktualisiert. |
|
WARNUNG | Gibt an, dass SOAR den Status der Warnungsynchronisierung nicht aktualisieren konnte. |
|
INFO | Lognachricht, die angibt, dass im aktuellen Lauf insgesamt total_synced Benachrichtigungen synchronisiert wurden. |
|
INFO | Protokollmeldung, die angibt, dass der Job abgeschlossen ist. |
|
FEHLER | Logeintrag, der angibt, dass in der Hauptfunktion eine Ausnahme aufgetreten ist. Die Ausnahmenachricht ist in der Lognachricht enthalten. |
Anwendungsfälle
Die Google Chronicle-Integration ermöglicht die folgenden Anwendungsfälle:
- Chronicle Windows Threats Investigation and Response
- Security Command Center und Chronicle Cloud DIR
Anwendungsfall installieren
Rufen Sie im Google SecOps Marketplace den Tab Anwendungsfälle auf.
Geben Sie in ein Suchfeld den Namen des Anwendungsfalls ein.
Klicken Sie auf den Anwendungsfall.
Folgen Sie den Konfigurationsschritten und der Anleitung im Installationsassistenten.
Danach sind alle erforderlichen Komponenten auf Ihrem Google SecOps-Computer installiert. Um die Installation abzuschließen, konfigurieren Sie den Block Initialization im Playbook, das Ihrem Anwendungsfall entspricht.
Chronicle Windows Threats Investigation & Response
Mit Google SecOps können Sie in Echtzeit auf Windows-Bedrohungen in Ihrer Umgebung reagieren. Mit Threat Intelligence für Google SecOps können Sicherheitsteams einen hochgenauen Dienst für Bedrohungsinformationen in Verbindung mit Google SecOps nutzen. Reale Bedrohungen in Ihrer Umgebung können jetzt automatisch priorisiert und in kurzer Zeit behoben werden.
Klicken Sie in Google SecOps auf Reaktion > Playbooks.
Wählen Sie das Playbook Google Chronicle – Windows Threats Investigation & Response (Google Chronicle – Untersuchung und Reaktion auf Windows-Bedrohungen) aus. Das Playbook wird in der Playbook-Designeransicht geöffnet.
Doppelklicken Sie auf Set Initialization Block_1 (Initialisierungsblock 1 festlegen). Das Dialogfeld zur Blockkonfiguration wird geöffnet.
Verwenden Sie die folgenden Parameter, um das Playbook zu konfigurieren:
Eingabeparameter Mögliche Werte Beschreibung edr_product- CrowdStrike
- Carbon Black
- Keine
Das EDR-Produkt, das im Playbook verwendet werden soll. itsm_product- Service Now
- Jira
- Zendesk
- Keine
Das ITSM-Produkt, das im Playbook verwendet werden soll. Für Jira ist eine zusätzliche Konfiguration im Block „Ticket öffnen“ erforderlich. crowdstrike_use_spotlightTrueoderFalseWenn True, werden im Playbook Crowdstrike-Aktionen ausgeführt, für die eine Spotlight-Lizenz erforderlich ist (Informationen zu Sicherheitslücken).use_mandiantTrueoderFalseBei Truewird der Mandiant-Block im Playbook ausgeführt.slack_userNutzername oder E-Mail-Adresse Der Nutzername oder die E-Mail-Adresse des Slack-Nutzers. Wenn keine angegeben werden, werden Slack-Blöcke im Playbook übersprungen. Klicken Sie auf Speichern. Das Dialogfeld für die Blockkonfiguration wird geschlossen.
Klicken Sie im Bereich „Playbook Designer“ auf Speichern.
Um das Playbook im Anwendungsfall zu testen, nehmen Sie den im Paket enthaltenen Testlauf auf. Einige Testlauf-Funktionen können fehlschlagen, weil die für Tests verwendeten Daten in Ihrer Umgebung nicht verfügbar sind.
Security Command Center und Chronicle Cloud DIR
Integrieren Sie Security Command Center in Google SecOps SIEM, damit Ihre Analysten Vorfälle und Bedrohungen untersuchen können, die von Security Command Center erkannt werden.
Anwendungsfall konfigurieren
Für den Anwendungsfall müssen Sie die folgenden Integrationen konfigurieren:
- Siemplify
- Tools
- Mitre ATT&CK
- Google Cloud IAM
- Google Chronicle
- Funktionen
- Google Cloud Compute
- Email V2
- VirusTotal v3
Die Integrationen von Google Security Command Center und Mandiant sind optional.
Installieren Sie den Anwendungsfall, bevor Sie ihn konfigurieren.
- Rufen Sie in Google SecOps den Tab Playbooks auf.
- Wählen Sie das Playbook SCC & Chronicle Cloud DIR aus.
- Doppelklicken Sie auf den Initialisierungsblock, um ihn zu konfigurieren.
- Konfigurieren Sie das Playbook mit den folgenden Parametern:
| Parametername | Mögliche Werte | Beschreibung |
|---|---|---|
Mandiant_Enrichment |
True oder False |
Bei Die Mandiant-Integration muss für diese Einrichtung konfiguriert werden. Sie können die Anreicherung entfernen, wenn Sie selten aussagekräftige Informationen erhalten. Durch das Entfernen des Anreicherungsblocks wird die Ausführungsgeschwindigkeit des Playbooks verbessert. |
SCC_Enrichment |
True oder False |
Wenn Die Security Command Center-Integration muss für diese Einrichtung konfiguriert sein. Sie können die Anreicherung entfernen, wenn Sie selten aussagekräftige Informationen erhalten. Durch das Entfernen des Anreicherungsblocks wird die Ausführungsgeschwindigkeit des Playbooks verbessert. |
IAM_Enrichment |
True oder False |
Wenn True, werden die IAM-Funktionen im Playbook zur zusätzlichen Anreicherung verwendet. Sie können die Anreicherung entfernen, wenn Sie nur selten aussagekräftige Informationen erhalten. Durch das Entfernen des Anreicherungsblocks wird die Ausführungsgeschwindigkeit des Playbooks verbessert. |
Compute_Enrichment |
True oder False |
Wenn True, verwendet das Playbook Compute Engine-Funktionen für zusätzliche Anreicherung. Sie können die Anreicherung entfernen, wenn Sie selten aussagekräftige Informationen erhalten. Durch das Entfernen des Anreicherungsblocks wird die Ausführungsgeschwindigkeit des Playbooks verbessert. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten