Google Chronicle in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie Google Chronicle in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 64.0
Anwendungsfälle
Die Google Chronicle-Integration kann für die folgenden Anwendungsfälle verwendet werden:
Automatisierte Phishing-Untersuchung und ‑Abhilfe:Mit den SOAR-Funktionen von Google SecOps können Sie automatisch historische E‑Mail-Daten, Protokolle zu Nutzeraktivitäten und Informationen zu Bedrohungen abfragen, um die Rechtmäßigkeit von E‑Mails zu bewerten. Die automatische Abhilfe kann Ihnen bei der Triage und Eindämmung helfen, indem sie die Verbreitung von Malware oder Datenpannen verhindert.
Anreicherung von Sicherheitswarnungen:Mit den SOAR-Funktionen von Google SecOps können Sie eine in einem SIEM generierte Warnung mit Verlaufsdaten wie dem bisherigen Nutzerverhalten und Asset-Informationen anreichern. So erhalten Analysten einen umfassenden Überblick über einen Vorfall, was eine schnellere und fundiertere Entscheidungsfindung ermöglicht.
Bedrohungssuche auf Grundlage von Google SecOps-Erkenntnissen:Nutzen Sie die SOAR-Funktionen von Google SecOps, um den Prozess der Abfrage anderer Sicherheitstools nach zugehörigen Indikatoren für Kompromittierung (Indicators of Compromise, IOCs) zu automatisieren. So können Sie potenzielle Sicherheitsverletzungen proaktiv erkennen, bevor sie eskalieren.
Automatisierte Playbooks für die Reaktion auf Vorfälle:Mit den SOAR-Funktionen von Google SecOps können Sie vordefinierte Playbooks auslösen, die Google SecOps-Daten verwenden, um kompromittierte Systeme zu isolieren, schädliche IP-Adressen zu blockieren und relevante Stakeholder zu benachrichtigen. So können Sie die Reaktionszeit bei Vorfällen verkürzen und die Auswirkungen von Sicherheitsvorfällen minimieren.
Compliance-Berichte und ‑Prüfungen:Mit den SOAR-Funktionen von Google SecOps können Sie die Erhebung von Sicherheitsdaten aus Google SecOps für Compliance-Berichte automatisieren, den Prüfungsprozess optimieren und den manuellen Aufwand reduzieren.
Hinweise
Bevor Sie die Google Chronicle-Integration in Google SecOps konfigurieren, müssen Sie Folgendes haben:
Google Cloud project: Zugriff auf ein aktivesGoogle Cloud -Projekt.
Berechtigungen: Die erforderlichen IAM-Rollen (Identity and Access Management) in IhremGoogle Cloud -Projekt zum Erstellen und Verwalten von Dienstkonten und IAM-Richtlinien.
Integration konfigurieren
Die Konfigurationsschritte hängen von Ihrem Google SecOps-Bereitstellungstyp ab:
Unified SecOps-Bereitstellung: Wenn Ihre Google SecOps-Instanz Teil einer Unified SecOps-Bereitstellung ist (integriert in Google Security Operations SIEM), wird für die Integration in der Regel ein von Googleverwaltetes Standarddienstkonto verwendet. In diesem Fall müssen Sie keinen JSON-Schlüssel für das Dienstkonto hochladen und Workload Identity nicht manuell konfigurieren. Erforderliche Berechtigungen sind entweder vorkonfiguriert oder werden von der Hostumgebung übernommen.
Eigenständige SOAR-Bereitstellung: Wenn Ihre Google SecOps-Instanz eine eigenständige SOAR-Bereitstellung ist (nicht in Google Security Operations SIEM integriert), müssen Sie die Authentifizierung manuell mit einer der folgenden Methoden konfigurieren:
JSON-Schlüsseldatei für Dienstkonto
Workload Identity-Föderation
Authentifizierung mit einem JSON-Schlüssel für ein Dienstkonto
Der Authentifizierungsprozess für einen JSON-Schlüssel für ein Dienstkonto unterscheidet sich zwischen der Chronicle API und der Backstory API.
Chronicle API-Authentifizierung (empfohlen)
Wenn Sie die Chronicle API verwenden möchten, müssen Sie in IhremGoogle Cloud -Projekt ein Dienstkonto erstellen.
Wechseln Sie in der Google Cloud Console zu IAM & Verwaltung > Dienstkonten.
Wählen Sie Dienstkonto erstellen aus und folgen Sie der Anleitung, um das erforderliche Dienstkonto zu erstellen.
Wählen Sie die E-Mail-Adresse des neuen Dienstkontos aus und rufen Sie Schlüssel > Schlüssel hinzufügen > Neuen Schlüssel erstellen auf.
Wählen Sie als Schlüsseltyp
JSONaus und klicken Sie auf Erstellen. Eine JSON-Schlüsseldatei wird auf Ihren Computer heruntergeladen.Weisen Sie dem Dienstkonto unter Berechtigungen > Zugriff verwalten die erforderlichen Google SecOps-spezifischen IAM-Rollen zu.
Backstory API-Authentifizierung
Für die Verwendung der Backstory API ist ein Dienstkonto erforderlich. Ein Administrator muss dieses Konto für Sie erstellen.
Wenden Sie sich an den Google SecOps-Support und fordern Sie ein Dienstkonto für die Backstory API an. Geben Sie die erforderlichen Details für Ihre SOAR-Bereitstellung an.
Der Google SecOps-Support stellt Ihnen eine JSON-Schlüsseldatei für das Dienstkonto zur Verfügung.
Verwenden Sie den bereitgestellten Schlüssel in der Integrationskonfiguration.
Authentifizierung mit Workload Identity (empfohlen)
Workload Identity ist die empfohlene und sicherere Authentifizierungsmethode für eigenständige SOAR-Bereitstellungen. Dadurch müssen keine langlebigen Dienstkontoschlüssel mehr verwaltet werden, da kurzlebige, föderierte Anmeldedaten verwendet werden können.
So richten Sie die Authentifizierung mit Workload Identity ein:
Workload Identity-Pool und -Anbieter erstellen:
Rufen Sie in der Google Cloud Console IAM & Verwaltung > Workload Identity Federation auf.
Folgen Sie der Anleitung, um einen Workload Identity-Pool und dann einen Workload Identity-Pool-Anbieter zu erstellen, der Google SecOps als externe Identität vertraut.
Sie können den Anbieter so konfigurieren, dass er Google SecOps als externe Identitätsquelle über OpenID Connect (OIDC) vertraut.
-
Wechseln Sie in der Google Cloud Console zu IAM & Verwaltung > Dienstkonten.
Erstellen Sie ein dediziertes Dienstkonto in Ihrem Google Cloud -Projekt. Dieses Konto wird von der externen Arbeitslast (Google SecOps) imitiert.
Gewähren Sie dem Dienstkonto Berechtigungen:
Weisen Sie dem Dienstkonto die erforderlichen Google SecOps-spezifischen IAM-Rollen zu, z. B. „Chronicle-Betrachter“ oder „Chronicle Security Operations-Bearbeiter“.
Weisen Sie dem von Ihnen erstellten Workload Identity Pool Provider die Rolle
Service Account Token Creatorzu. Mit dieser Berechtigung kann der Anbieter die Identität dieses Dienstkontos übernehmen.
Vertrauensstellung konfigurieren:
Stellen Sie die Vertrauensstellung zwischen Ihrem Workload Identity-Poolanbieter und dem Dienstkonto her. Dadurch wird die externe Identität (die Google SecOps repräsentiert) mit dem Google Cloud Dienstkonto verknüpft.
Integrationsparameter konfigurieren:
Geben Sie im Dialogfeld für die Integrationskonfiguration die E-Mail-Adresse des Dienstkontos in das Feld Workload Identity-E-Mail-Adresse ein.
Eine detailliertere Anleitung zum Einrichten der Identitätsföderation von Arbeitslasten finden Sie unter Google Cloud Workload Identity.
Integrationsparameter
Für die Google Chronicle-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
UI Root |
Erforderlich. Die Basis-URL der Google SecOps SIEM-Benutzeroberfläche. Damit werden automatisch direkte Links von Ihren Fallaufzeichnungen zurück zur SIEM-Plattform generiert. Der Standardwert ist |
API Root |
Erforderlich. Der API-Root für Ihre Google SecOps SIEM-Instanz. Der Wert hängt von Ihrer Authentifizierungsmethode ab:
Wenn Sie die falschen Anmeldedaten für den API-Root verwenden, schlägt die Verbindung fehl. |
User's Service Account |
Optional. Der vollständige Inhalt der JSON-Schlüsseldatei des Dienstkontos. Wenn dieser und die Parameter |
Workload Identity Email |
Optional. Die Client-E-Mail-Adresse Ihrer Workload Identity-Föderation. Dieser Parameter hat Vorrang vor der Schlüsseldatei Wenn Sie die Workload Identity Federation verwenden möchten, müssen Sie Ihrem Dienstkonto die Rolle |
Verify SSL |
Erforderlich. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Google SecOps SIEM-Server validiert. Standardmäßig aktiviert. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Zeilen zur Datentabelle hinzufügen
Mit der Aktion Zeilen zur Datentabelle hinzufügen können Sie einer Datentabelle in Google SecOps Zeilen hinzufügen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | Beschreibung |
|---|---|
Data Table Name |
Erforderlich. Der Anzeigename der Datentabelle, die aktualisiert werden soll. |
Rows |
Erforderlich. Eine Liste von JSON-Objekten mit Informationen zu den hinzuzufügenden Zeilen. Beispiel:
{
"columnName1": "value1",
"columnName2": "value2"
}
|
Aktionsausgaben
Die Aktion Zeilen zur Datentabelle hinzufügen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| Entitätsstatistiken | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt ein JSON-Beispielergebnis, das von der Aktion Zeilen in Datentabelle einfügen zurückgegeben wird:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
}
}
Ausgabemeldungen
Für die Aktion Zeilen zur Datentabelle hinzufügen werden die folgenden Ausgabemeldungen bereitgestellt:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully added rows to the data table
DATA_TABLE_NAME in
Google SecOps. |
Die Aktion wurde ausgeführt. |
Error executing action "Add Rows to Data Table". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Zeilen zur Datentabelle hinzufügen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Werte zur Referenzliste hinzufügen
Mit der Aktion Werte der Referenzliste hinzufügen können Sie einer Referenzliste in Google SecOps Werte hinzufügen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | Beschreibung |
|---|---|
Reference List Name |
Erforderlich. Der Name der zu aktualisierenden Referenzliste. |
Values |
Erforderlich. Eine durch Kommas getrennte Liste von Werten, die der Referenzliste hinzugefügt werden sollen. |
Aktionsausgaben
Die Aktion Add Value To Reference List (Wert zur Referenzliste hinzufügen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| Entitätsstatistiken | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Wert zur Referenzliste hinzufügen mit der Backstory API empfangen wird:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Add Value To Reference List (Wert zur Referenzliste hinzufügen) mit der Chronicle API empfangen wird:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_NAME",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Ausgabemeldungen
Die Aktion Werte zur Referenzliste hinzufügen gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully added values to the reference list
REFERENCE_LIST_NAME. |
Die Aktion wurde ausgeführt. |
Error executing action "Add Values To Reference List". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Werte der Referenzliste hinzufügen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Gemini fragen
Mit der Aktion Gemini fragen können Sie einen Text-Prompt an Gemini in Google SecOps senden.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Verwenden Sie die folgenden Parameter, um die Aktion zu konfigurieren:
| Parameter | Beschreibung |
|---|---|
Automatic Opt-in |
Optional. Wenn diese Option ausgewählt ist, wird der Nutzer automatisch für die Gemini-Unterhaltung angemeldet, ohne dass eine manuelle Bestätigung erforderlich ist. Standardmäßig aktiviert. |
Prompt |
Erforderlich. Der ursprüngliche Text-Prompt oder die Frage, die an Gemini gesendet wird. |
Aktionsausgaben
Die Aktion Gemini fragen liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| Entitätsstatistiken | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Gemini fragen empfangen wird:
{
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/users/me/conversations/db3b0fc2-94f8-42ae-b743-c3693f593269/messages/b58e3186-e697-4400-9da8-8ef252a20bd9",
"input": {
"body": "Is IP 159.138.84.217 malicious? What can you tell me about it?"
},
"responses": [
{
"blocks": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<p>The IP address 159.138.84.217 is associated with malware and threat actors.</p>\n<ul>\n<li>It is an IPv4 indicator.</li>\n<li>It is associated with BEACON malware.</li>\n<li>It is categorized as malware-Backdoor.</li>\n<li>It has a low confidence, high severity threat rating.</li>\n<li>VirusTotal's IP Address Report indicates the network for this IP is 159.138.80.0/20, and the IP is associated with HUAWEI CLOUDS in Singapore.</li>\n<li>VirusTotal's last analysis on April 22, 2025, showed 8 malicious detections out of 94 sources.</li>\n</ul>\n<p>I might have more details for a question with more context (e.g., what is the source of the IP, what type of network traffic is associated with the IP).</p>\n"
}
}
],
"references": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<ol>\n<li><a href=\"https://advantage.mandiant.com/indicator/ipv4/159.138.84.217\" target=\"_blank\">Mandiant - indicator - 159.138.84.217</a></li>\n</ol>\n"
}
}
],
"groundings": [
"IP address 159.138.84.217 malicious cybersecurity",
"IP address 159.138.84.217 threat intelligence"
]
}
],
"createTime": "2025-05-16T11:31:36.660538Z"
}
}
Ausgabemeldungen
Die Aktion Gemini fragen gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully executed a prompt in Google SecOps. |
Die Aktion wurde ausgeführt. |
Error executing action "GoogleChronicle - Ask Gemini".
Reason: ERROR_REASON |
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Gemini fragen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Domain anreichern (eingestellt)
Mit der Aktion Domain anreichern können Sie Domains mit Informationen aus IoCs in Google SecOps SIEM anreichern.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
URLHostname
Aktionseingaben
Für die Aktion Domain anreichern sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Create Insight |
Wenn diese Option ausgewählt ist, wird durch die Aktion ein Insight mit Informationen zu den Entitäten erstellt. Standardmäßig aktiviert. |
Only Suspicious Insight |
Wenn diese Option ausgewählt ist, wird nur für Entitäten, die als verdächtig markiert sind, ein Insight erstellt. Standardmäßig nicht aktiviert. Wenn Sie diesen Parameter auswählen, müssen Sie auch |
Lowest Suspicious Severity |
Erforderlich. Der niedrigste Schweregrad, der mit der Domain verknüpft ist und erforderlich ist, um sie als verdächtig zu kennzeichnen. Der Standardwert ist
|
Mark Suspicious N/A Severity |
Erforderlich. Wenn diese Option ausgewählt ist und die Informationen zum Schweregrad nicht verfügbar sind, wird die Einheit durch die Aktion als verdächtig markiert. |
Aktionsausgaben
Die Aktion Domain anreichern liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Verfügbar |
| Entitätsstatistiken | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Die Aktion Domain anreichern enthält die folgende Tabelle:
Name: ENTITY_IDENTIFIER
Spalten:
- Quelle
- Schweregrad
- Kategorie
- Verlässlichkeit
Entitätsanreicherung
Die Aktion Domain anreichern unterstützt die folgende Logik zur Anreicherung von Entitäten:
| Anreicherungsfeld | Logik (wann anwenden) |
|---|---|
severity |
Wenn in JSON verfügbar |
average_confidence |
Wenn in JSON verfügbar |
related_domains |
Wenn in JSON verfügbar |
categories |
Wenn in JSON verfügbar |
sources |
Wenn in JSON verfügbar |
first_seen |
Wenn in JSON verfügbar |
last_seen |
Wenn in JSON verfügbar |
report_link |
Wenn in JSON verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ausgabe beschrieben, die bei Verwendung der Aktion Enrich Domain (Domain anreichern) mit der Backstory API empfangen wird:
{
{
"sources": [
{
"source": "ET Intelligence Rep List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Enrich Domain (Domain anreichern) mit der Chronicle API empfangen wird:
[
{
"Entity": "example.com",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
},
{
"category": "Phishing",
"firstActiveTime": null,
"lastActiveTime": "2020-11-27T14:31:37Z",
"addresses": [
{
"domain": "example.com"
},
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "high",
"confidenceScore": {
"strRawConfidenceScore": "high"
}
},
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
},
{
"metadata": {
"title": "ESET Threat Intelligence",
"description": "ESET Threat Intelligence"
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Phishing",
"activeTimerange": {
"end": "2020-11-27T14:31:37Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "High",
"rawSeverity": "High"
}
]
},
{
"metadata": {
"title": "Mandiant Active Breach Intelligence",
"description": "Mandiant Active Breach IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
}
]
}
}
]
Ausgabemeldungen
Die Aktion Domain anreichern gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully enriched the following domain in Google Chronicle:
LIST_OF_IDS |
Die Aktion wurde ausgeführt. |
Error executing action "Enrich Domain". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Enrich Domain beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Entitäten anreichern
Mit der Aktion Entitäten anreichern können Sie Google SecOps nach zusätzlichem Kontext und Attributen für bestimmte Entitätstypen abfragen. Durch diese Aktion werden Daten zur Bedrohungsanalyse durch die Einbindung externer Informationen verbessert.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
DomainFile HashHostnameIP AddressURL(extrahiert die Domain aus der URL)UserEmail(Nutzerentität mit E‑Mail-Regex)
Aktionseingaben
Für die Aktion Enrich Entities sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Namespace |
Optional. Die logische Gruppierung oder der Bereich der zu erweiternden Entitäten. Wenn diese Option nicht ausgewählt ist, wird die Anreicherung auf Entitäten im Standard-Namespace oder in allen zugänglichen Namespaces angewendet. Entitäten müssen zu diesem Namespace gehören, damit sie verarbeitet werden können. |
Time Frame |
Optional. Ein relativer Zeitraum, z. B. Dieser Parameter hat Vorrang vor |
Start Time |
Optional. Die Startzeit für den Anreicherungszeitraum im ISO 8601-Format. Verwenden Sie diese mit |
End Time |
Optional. Die absolute Endzeit für den Anreicherungszeitraum im ISO 8601-Format. Wird mit |
Aktionsausgaben
Die Aktion Enrich Entities (Entitäten anreichern) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
| Anreicherungsfeld | Quelle (JSON-Schlüssel) | Gültigkeit |
|---|---|---|
GoogleSecOps_related_entities |
Anzahl der related_entities | Wenn im JSON-Ergebnis verfügbar. |
GoogleSecOps_alert_count_ruleName |
{alertCounts.count} für jede spezifische Regel | Wenn im JSON-Ergebnis verfügbar. |
GoogleSecOps_first_seen |
metric.firstSeen |
Wenn im JSON-Ergebnis verfügbar. |
GoogleSecOps_last_seen |
metric.lastSeen |
Wenn im JSON-Ergebnis verfügbar. |
GoogleSecOps_flattened_key_under_entity |
Der Wert des Schlüssels, der aus der verschachtelten Struktur unter dem "entity"-Objekt vereinfacht wurde. |
Wenn im JSON-Ergebnis verfügbar. |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Enrich Entities (Entitäten anreichern) empfangen wird:
[
{
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"domain": {
"name": "markossolomon.com",
"firstSeenTime": "1970-01-01T00:00:00Z",
"lastSeenTime": "1970-01-01T00:00:00Z",
"registrar": "NameCheap, Inc.",
"creationTime": "2013-12-06T02:41:09Z",
"updateTime": "2019-11-06T11:48:33Z",
"expirationTime": "2020-12-06T02:41:09Z",
"registrant": {
"userDisplayName": "WhoisGuard Protected",
"emailAddresses": [
"58d09cb5035042e9920408f8bafd0869.protect@whoisguard.com"
],
"personalAddress": { "countryOrRegion": "PANAMA" },
"companyName": "WhoisGuard, Inc."
}
}
}
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "npatni-sysops",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "npatni-sysops" }
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "329" },
{ "rule": "rule_testbucket", "count": "339" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "332" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 1000 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "exlab2019-ad",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "exlab2019-ad" }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.30.202.229",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "ip": ["172.30.202.229"] }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.17.0.1",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": { "namespace": "Yuriy", "asset": { "ip": ["172.17.0.1"] } },
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
}
},
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "911d039e71583a07320b32bde22f8e22",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"file": {
"sha256": "bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527",
"md5": "911d039e71583a07320b32bde22f8e22",
"sha1": "ded8fd7f36417f66eb6ada10e0c0d7c0022986e9",
"size": "278528",
"fileType": "FILE_TYPE_PE_EXE",
"names": [
"C:\\Windows\\System32\\cmd.exe",
"cmd",
"Cmd.Exe",
"C:\\Windows\\system32\\cmd.exe",
"C:\\Windows\\SYSTEM32\\cmd.exe",
"cmd.exe",
"C:\\\\Windows\\\\System32\\\\cmd.exe",
"C:\\windows\\SYSTEM32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\wjxpour4.d0f\\cmd.exe",
"c:\\Windows\\System32\\cmd.exe",
"Utilman.exe",
"c:\\windows\\system32\\cmd.exe",
"System32/cmd.exe",
"UtilityVM/Files/Windows/System32/cmd.exe",
"KerishDoctor/Data/KerishDoctor/Restore/cmd.rst",
"cmd.exe_",
"C:\\WINDOWS\\SYSTEM32\\cmd.exe",
"Cmd.exe",
"Windows/System32/cmd.exe",
"sethc.exe",
"C:\\WINDOWS\\System32\\cmd.exe",
"esRzqurX.exe",
"rofl.png",
"F:\\Windows\\SYSTEM32\\cmd.exe",
"utilman.exe",
"C:\\Windows\\system32\\CMD.exe",
"sys32exe/cmd.exe",
"cmd.txt",
"C:\\WINDOWS\\system32\\cmd.exe",
"cmd2.exe",
"Utilman.exe.sc",
"uhrHRIv8.exe",
"C:\\windows\\system32\\cmd.exe",
"submitted_file",
"C:\\Users\\user\\AppData\\Local\\Temp\\n1qo0bq3.2tn\\KerishDoctor\\Data\\KerishDoctor\\Restore\\cmd.rst",
"J6ff7z0hLYo.exe",
"N:\\Windows\\System32\\cmd.exe",
"Q:\\Windows\\System32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\cmd.exe",
"C:\\Users\\<USER>\\AppData\\Local\\Temp\\cmd.exe",
"test.exe",
"68E2F01F8DE9EFCAE9C0DD893DF0E8C34E2B5C98A6C4073C9C9E8093743D318600.blob",
"8FCVE0Kq.exe",
"cmd (7).exe",
"cmd (8).exe",
"21455_16499564_bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527_cmd.exe",
"LinX v0.9.11 (Intel)/cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\inbvmkaa.1xd\\LinX v0.9.11 (Intel)\\cmd.exe",
"cmd_b.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\sfd5bhoe.nqi\\cmd.exe",
"cMd.exe",
"Repl_Check.bat__",
"cmd.pdf",
"cmd.EXE",
"C:\\Users\\user\\AppData\\Local\\Temp\\uszjr42t.kda\\cmd.exe",
"LFepc1St.exe",
"firefox.exe",
"3BcnNlWV.exe",
"Utilman.exebak",
"utilman1.exe",
"1.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\ispvscgp.ep2\\sys32exe\\cmd.exe",
"cmd_1771019736291028992.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\xijgwqvd.54g\\cmd.exe",
"Sethc.exe",
"\\Device\\CdRom1\\DANFE352023067616112\\DANFE352023067616112.EXE",
"DANFE352023067616112.exe",
"file.exe",
"DANFE352023067616112/DANFE352023067616112.exe",
"C:\\Windows\\SYSTEM32\\Cmd.exe",
"pippo.exe",
"C:\\Windows\\System32\\sethc.exe",
"cmd.exe-bws024-windowsfolder",
"whatever.exe",
"sethc.exe.bak",
"S71dbOR1.exe",
"F:\\windows\\SYSTEM32\\cmd.exe",
"L6puhWL7.exe",
"DANFE357986551413927.exe",
"DANFE357666506667634.exe",
"\\Device\\CdRom1\\DANFE357666506667634\\DANFE357666506667634.EXE",
"\\Device\\CdRom1\\DANFE357986551413927\\DANFE357986551413927.EXE",
"\\Device\\CdRom1\\DANFE358567378531506\\DANFE358567378531506.EXE",
"\\Device\\CdRom1\\HtmlFactura3f48daa069f0e42253194ca7b51e7481DPCYKJ4Ojk\\HTMLFACTURA3F48DAA069F0E42253194CA7B51E7481DPCYKJ4OJK.EXE",
"\\Device\\CdRom1\\DANFE357410790837014\\DANFE357410790837014.EXE",
"\\Device\\CdRom1\\DANFE357702036539112\\DANFE357702036539112.EXE",
"winlogon.exe",
"AccessibilityEscalation.A' in file 'utilman.exe'",
"qpl9AqT0.exe",
"C:\\windows\\system32\\CMD.exe",
"C:\\po8az\\2po9hmc\\4v1b5.exe",
"batya.exe",
"nqAwJaba.exe",
"\\Device\\CdRom1\\DANFE356907191810758\\DANFE356907191810758.EXE",
"/Volumes/10_11_2023/DANFE356907191810758/DANFE356907191810758.exe",
"/Volumes/09_21_2023/DANFE357986551413927/DANFE357986551413927.exe",
"\\Device\\CdRom1\\DANFE355460800350113\\DANFE355460800350113.EXE",
"/Volumes/09_19_2023/DANFE355460800350113/DANFE355460800350113.exe",
"DANFE352429512050669.exe",
"/Volumes/04_15_2023/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3.exe"
],
"firstSeenTime": "2024-12-15T09:07:02Z",
"lastSeenTime": "2025-07-18T07:43:59.045Z",
"lastAnalysisTime": "2025-07-16T10:06:40Z",
"signatureInfo": {
"sigcheck": {
"verificationMessage": "Signed",
"verified": true,
"signers": [{ "name": "Microsoft Windows" }]
}
},
"firstSubmissionTime": "2025-07-15T16:30:27Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "329" },
{ "rule": "rule_testbucket", "count": "345" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "326" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{ "alertCount": 31 },
{ "alertCount": 111 },
{ "alertCount": 109 },
{ "alertCount": 82 },
{ "alertCount": 86 },
{ "alertCount": 98 },
{ "alertCount": 86 },
{ "alertCount": 85 },
{ "alertCount": 92 },
{ "alertCount": 89 },
{ "alertCount": 90 },
{ "alertCount": 41 }
],
"bucketSize": "172800s"
},
"prevalenceResult": [
{ "prevalenceTime": "2025-01-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-16T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-17T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-18T00:00:00Z", "count": 2 }
],
"relatedEntities": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiFQoGCPbso7wGEgsIv_bnwwYQwMq6FQ",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"hostname": "exlab2019-ad",
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIVCgYI9uyjvAYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"ip": ["172.30.202.229"],
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
}
]
}
},
{
"Entity": "tencent.com",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"domain": {
"name": "tencent.com",
"firstSeenTime": "2025-01-14T14:01:00Z",
"lastSeenTime": "2025-01-14T15:02:00Z",
"registrar": "MarkMonitor Information Technology (Shanghai) Co., Ltd.",
"creationTime": "1998-09-14T04:00:00Z",
"updateTime": "2024-08-20T08:04:01Z",
"expirationTime": "2032-09-13T04:00:00Z",
"registrant": {
"emailAddresses": [""],
"personalAddress": { "countryOrRegion": "CHINA" },
"companyName": "\u6df1\u5733\u5e02\u817e\u8baf\u8ba1\u7b97\u673a\u7cfb\u7edf\u6709\u9650\u516c\u53f8"
}
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "00:50:56:b6:34:86",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "mac": ["00:50:56:b6:34:86"] }
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
}
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
}
]
Ausgabemeldungen
Die Aktion Enrich Entities kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Enrich Entities verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
IP-Adresse anreichern (eingestellt)
Verwenden Sie die Aktion IP anreichern, um IP-Entitäten mit Informationen aus IoCs in Google SecOps SIEM anzureichern.
Diese Aktion wird für die Entität „IP-Adresse“ ausgeführt.
Aktionseingaben
Für die Aktion IP anreichern sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Create Insight |
Optional. Wenn diese Option ausgewählt ist, wird durch die Aktion ein Insight erstellt, der Informationen zu Entitäten enthält.Standardmäßig aktiviert. |
Only Suspicious Insight |
Optional. Wenn diese Option ausgewählt ist, werden nur für Entitäten, die als verdächtig gekennzeichnet sind, Statistiken erstellt.Standardmäßig nicht aktiviert. Wenn Sie diesen Parameter auswählen, muss auch |
Lowest Suspicious Severity |
Erforderlich. Der niedrigste Schweregrad, der mit der IP-Adresse verknüpft ist, um sie als verdächtig zu kennzeichnen. Der Standardwert ist
|
Mark Suspicious N/A Severity |
Erforderlich. Wenn diese Option ausgewählt ist und die Informationen zum Schweregrad nicht verfügbar sind, wird die Einheit durch die Aktion als verdächtig markiert. |
Aktionsausgaben
Die Aktion IP anreichern liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Name: ENTITY_IDENTIFIER
Spalten:
- Quelle
- Schweregrad
- Kategorie
- Verlässlichkeit
- Zugehörige Domains
Entitätsanreicherung
Die Aktion IP anreichern unterstützt die folgende Logik zur Anreicherung von Entitäten:
| Anreicherungsfeld | Logik (wann anwenden) |
|---|---|
severity |
Wenn in JSON verfügbar |
average_confidence |
Wenn in JSON verfügbar |
related_domains |
Wenn in JSON verfügbar |
categories |
Wenn in JSON verfügbar |
sources |
Wenn in JSON verfügbar |
first_seen |
Wenn in JSON verfügbar |
last_seen |
Wenn in JSON verfügbar |
report_link |
Wenn in JSON verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion IP anreichern mit der Backstory API empfangen wird:
{
{
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion IP anreichern mit der Chronicle API empfangen wird:
[
{
"Entity": "192.0.2.121",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "low",
"confidenceScore": {
"strRawConfidenceScore": "67"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "67",
"rawSeverity": "Low"
}
]
}
]
}
}
]
Ausgabemeldungen
Die Aktion IP anreichern gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully enriched the following IPs from Google Chronicle:
LIST_OF_IPS |
Die Aktion wurde ausgeführt. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion IP anreichern beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Retrohunt ausführen
Verwenden Sie die Aktion Execute Retrohunt (Retrohunt ausführen), um einen Regel-Retrohunt in Google SecOps auszuführen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Execute Retrohunt sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Rule ID |
Erforderlich. Die ID der Regel, für die ein RetroHunt ausgeführt werden soll. Verwenden Sie das Format |
Time Frame |
Optional. Ein Zeitraum, für den die Ergebnisse abgerufen werden sollen. Folgende Werte sind möglich:
Wenn Der Standardwert ist |
Start Time |
Die Startzeit für die Ergebnisse im ISO 8601-Format. Dieser Parameter ist erforderlich, wenn der Parameter |
End Time |
Die Endzeit für die Ergebnisse im ISO 8601-Format.
Wenn Sie keinen Wert festlegen und den Wert |
Aktionsausgaben
Die Aktion Execute Retrohunt (Retrohunt ausführen) liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| Entitätsstatistiken | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Execute Retrohunt (Retrohunt ausführen) mit der Backstory API empfangen wird:
{
"retrohuntId": "oh_d738c8ea-8fd7-4cc1-b43d-25835b8e1785",
"ruleId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497",
"versionId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497@v_1612472807_179679000",
"eventStartTime": "2021-01-14T23:00:00Z",
"eventEndTime": "2021-01-30T23:00:00Z",
"retrohuntStartTime": "2021-02-08T02:40:59.192113Z",
"state": "RUNNING"
}
Das folgende Beispiel beschreibt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Execute Retrohunt (Retrohunt ausführen) mit der Chronicle API empfangen wird:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/RetrohuntMetadata",
"retrohunt": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID/retrohunts/RETROHUNT_ID",
"executionInterval": {
"startTime": "2025-01-22T12:16:20.963182Z",
"endTime": "2025-01-23T12:16:20.963182Z"
}
},
"retrohuntId": "RETROHUNT_ID",
"ruleId": "RULE_ID",
"versionId": "VERSION_ID",
"eventStartTime": "2025-01-22T12:16:20.963182Z",
"eventEndTime": "2025-01-23T12:16:20.963182Z"
}
Ausgabemeldungen
Die Aktion Retrohunt ausführen gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully executed a retrohunt for the provided rule in Google
Chronicle.
|
Die Aktion wurde ausgeführt. |
Error executing action "Execute Retrohunt". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Execute Retrohunt (Retrohunt ausführen) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
UDM-Abfrage ausführen
Mit der Aktion UDM-Abfrage ausführen können Sie eine benutzerdefinierte UDM-Abfrage in Google SecOps ausführen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion UDM-Abfrage ausführen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Query String |
Erforderlich. Die in Google SecOps auszuführende Abfrage. |
Time Frame |
Optional. Ein Zeitraum, für den die Ergebnisse abgerufen werden sollen. Folgende Werte sind möglich:
Wenn Der Standardwert ist |
Start Time |
Optional. Die Startzeit für die Ergebnisse im ISO 8601-Format (z. B. Dieser Parameter ist erforderlich, wenn der Parameter Der Zeitraum darf maximal 90 Tage umfassen. |
End Time |
Optional. Die Endzeit für die Ergebnisse im ISO 8601-Format (z. B. Wenn Sie keinen Wert festlegen und der Parameter Der Zeitraum darf maximal 90 Tage umfassen. |
Max Results To Return |
Optional. Anzahl der Ergebnisse, die für eine einzelne Anfrage zurückgegeben werden sollen. Der Höchstwert ist Der Standardwert ist |
Aktionsausgaben
Die Aktion UDM-Abfrage ausführen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion UDM-Abfrage ausführen empfangen wird:
{
"events":[
"event":{
"metadata":{
"eventTimestamp":"2022-01-20T09:15:15.687Z",
"eventType":"USER_LOGIN",
"vendorName":"Example Vendor",
"productName":"Example Product",
"ingestedTimestamp":"2022-01-20T09:45:07.433587Z"
},
"principal":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.0"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
],
"location":{
"city":"San Francisco",
"state":"California",
"countryOrRegion":"US"
},
"asset":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.1",
"203.0.113.1",
"203.0.113.1"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
]
}
},
"target":{
"user":{
"userid":"Example",
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-4712406912-7108061610-2717800068-993683",
"emailAddresses":[
"example@example.com",
"admin.example@example.com"
],
"employeeId":"2406187",
"productObjectId":"f93f1540-4935-4266-aa8e-a750a319aa1c",
"firstName":"Example",
"lastName":"User",
"phoneNumbers":[
"555-01-75"
],
"title":"Executive Assistant",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
],
"managers":[
{
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-6051382818-4135626959-8120238335-834071",
"emailAddresses":[
"user@example.com"
],
"employeeId":"5478500",
"productObjectId":"8b3924d5-6157-43b3-857b-78aa6bd94705",
"firstName":"User",
"lastName":"Example",
"phoneNumbers":[
"555-01-75"
],
"title":"Chief Technology Officer",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
]
}
]
},
"ip":[
"198.51.100.1"
],
"email":"email@example.com",
"application":"Example Sign In"
},
"securityResult":[
{
"summary":"Successful Login",
"action":[
"ALLOW"
]
}
],
"extensions":{
"auth":{
"type":"SSO"
}
}
},
"eventLogToken":"96f23eb9ffaa9f7e7b0e2ff5a0d2e34c,1,1642670115687000,USER,|USER_LOGIN"
]
}
Ausgabemeldungen
Die Aktion UDM-Abfrage ausführen gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Execute UDM Query". Reason:
ERROR_REASON
|
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Execute UDM Query". Reason: you've reached a
rate limit. Please wait for several minutes and try again. |
Die Aktion ist fehlgeschlagen. Warten Sie einige Minuten, bevor Sie die Aktion noch einmal ausführen. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion UDM-Abfrage ausführen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Datentabellen abrufen
Mit der Aktion Get Data Tables (Datentabellen abrufen) können Sie verfügbare Datentabellen in Google SecOps abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Datentabellen abrufen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Filter Key |
Optional. Der Schlüssel, nach dem gefiltert werden soll Die Option Folgende Werte sind möglich: NameDescription |
Filter Logic |
Optional. Die anzuwendende Filterlogik. Folgende Werte sind möglich: Equal (für genaue Übereinstimmungen)Contains(für Teilstring-Übereinstimmungen) |
Filter Value |
Optional. Der Wert, der im Filter verwendet werden soll. Folgende Werte sind möglich: Equal (für genaue Übereinstimmungen)Contains(für Teilstring-Übereinstimmungen)
Wenn nichts angegeben ist, wird der Filter nicht angewendet. |
Expanded Rows |
Optional. Wenn diese Option ausgewählt ist, enthält die Antwort detaillierte Datenzeilen. Standardmäßig nicht aktiviert. |
Max Data Tables To Return |
Erforderlich. Die Anzahl der zurückzugebenden Datentabellen. Der Höchstwert ist |
Max Data Table Rows To Return |
Erforderlich. Die Anzahl der zurückzugebenden Zeilen der Datentabelle. Verwenden Sie diesen Parameter nur, wenn Der Höchstwert ist |
Aktionsausgaben
Die Aktion Get Data Tables (Datentabellen abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Get Data Tables empfangen wird:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table",
"displayName": "data_table",
"createTime": "2025-05-14T12:52:50.064133Z",
"updateTime": "2025-05-14T13:13:48.631442Z",
"columnInfo": [
{
"originalColumn": "columnName1",
"columnType": "STRING"
},
{
"columnIndex": 1,
"originalColumn": "columnName2",
"columnType": "STRING"
},
{
"columnIndex": 2,
"originalColumn": "columnName3",
"columnType": "STRING"
}
],
"dataTableUuid": "c3cce57bb8d940d5ac4523c37d540436",
"approximateRowCount": "2",
"rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
Ausgabemeldungen
Die Aktion Get Data Tables (Datentabellen abrufen) gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully found data tables for the provided criteria in Google
SecOps |
Die Aktion wurde ausgeführt. |
Error executing action "Get Data Tables". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Data Tables beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Details zur Erkennung abrufen
Mit der Aktion Get Detection Details (Erkennungsdetails abrufen) können Sie Informationen zu einer Erkennung in Google SecOps abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Get Detection Details sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Rule ID |
Erforderlich. Die ID der Regel, die mit der Erkennung verknüpft ist. Verwenden Sie das Format |
Detection ID |
Erforderlich. Die ID der Erkennung, für die Details abgerufen werden sollen. Wenn Sonderzeichen angegeben werden, schlägt die Aktion nicht fehl, sondern gibt eine Liste von Erkennungen zurück. |
Aktionsausgaben
Die Aktion Erkennungsdetails abrufen liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Erkennungsdetails abrufen empfangen wird:
{
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "singleEventRule2",
"urlBackToProduct":
"https://INSTANCE/ruleDetections?
ruleId=ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d&selectedList=RuleDetectionsViewTimeline&
selectedParentDetectionId=de_ce594791-09ed-9681-27fa-3b7c8fa6054c&
selectedTimestamp=2020-12-03T16: 50: 47.647245Z","ruleId": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d",
"ruleVersion": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d@v_1605892822_687503000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT"
}
],
"createdTime": "2020-12-03T19:19:21.325134Z",
"id": "de_ce594791-09ed-9681-27fa-3b7c8fa6054c",
"timeWindow": {
"startTime": "2020-12-03T16:50:47.647245Z",
"endTime": "2020-12-03T16:50:47.647245Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2020-12-03T16:50:47.647245Z",
"collectedTimestamp": "2020-12-03T16:50:47.666064010Z",
"eventType": "NETWORK_DNS",
"productName": "ProductName",
"ingestedTimestamp": "2020-12-03T16:50:49.494542Z"
},
"principal": {
"ip": [
"192.0.2.1"
]
},
"target": {
"ip": [
"203.0.113.1"
]
},
"securityResult": [
{
"action": [
"UNKNOWN_ACTION"
]
}
],
"network": {
"applicationProtocol": "DNS",
"dns": {
"questions": [
{
"name": "example.com",
"type": 1,
"class": 1
}
],
"id": 12345,
"recursionDesired": true
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2020-12-03T16:50:47.647245Z"
}
Ausgabemeldungen
Die Aktion Erkennungsdetails abrufen gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully fetched information about the detection with ID
DETECTION_ID in Google Chronicle. |
Die Aktion wurde ausgeführt. |
Error executing action "Get Detection Details". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Erkennungsdetails abrufen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Referenzlisten abrufen
Verwenden Sie die Aktion Referenzlisten abrufen, um verfügbare Referenzlisten in Google SecOps abzurufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Referenzlisten abrufen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Filter Key |
Der Schlüssel, nach dem gefiltert werden soll.
Folgende Werte sind möglich:
|
Filter Logic |
Die anzuwendende Filterlogik. Folgende Werte sind möglich: Equal (für genaue Übereinstimmungen)Contains(für Teilstring-Übereinstimmungen)Der Standardwert ist |
Filter Value |
Der Wert, der im Filter verwendet werden soll.
Folgende Werte sind möglich: Equal (für genaue Übereinstimmungen)Contains(für Teilstring-Übereinstimmungen)
Wenn kein Wert angegeben wird, wird der Filter nicht angewendet. |
Expanded Details |
Wenn diese Option ausgewählt ist, gibt die Aktion detaillierte Informationen zu den Referenzlisten zurück.
Standardmäßig nicht aktiviert. |
Max Reference Lists To Return |
Die Anzahl der zurückzugebenden Referenzlisten.
Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Reference List (Referenzliste abrufen) liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Auf einer Case Wall wird mit Get Reference Lists (Referenzlisten abrufen) die folgende Tabelle bereitgestellt:
Name: Available Reference Lists (Verfügbare Referenzlisten)
Spalten:
- Name
- Beschreibung
- Typ
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Get Reference Lists (Referenzlisten abrufen) mit der Backstory API empfangen wird:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Get Reference Lists (Referenzlisten abrufen) mit der Chronicle API empfangen wird:
[
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_ID",
"displayName": "REFERENCE_LIST_ID",
"revisionCreateTime": "2025-01-09T15:53:10.851775Z",
"description": "Test reference list",
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-09T15:53:10.851775Z"
}
]
Ausgabemeldungen
Die Aktion Get Reference Lists (Referenzlisten abrufen) gibt die folgenden Ausgabenachrichten zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action
ACTION_NAME. Reason:
ERROR_REASON
|
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action
ACTION_NAME. Reason: "Invalid
value was provided for "Max Reference Lists to Return":
PROVIIDED_VALUE. Positive number should be provided. |
Die Aktion ist fehlgeschlagen.
Prüfen Sie den Wert des Parameters |
Skript
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Referenzlisten abrufen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Regeldetails abrufen
Mit der Aktion Get Rule Details (Regeldetails abrufen) können Sie Informationen zu einer Regel in Google SecOps abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Regeldetails abrufen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Rule ID |
Erforderlich. Die Regel-ID, für die die Details abgerufen werden sollen. |
Aktionsausgaben
Die Aktion Get Rule Details (Regeldetails abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Get Rule Details (Regeldetails abrufen) mit der Backstory API empfangen wird:
{
"ruleId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f",
"versionId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f@v_1602631093_146879000",
"ruleName": "SampleRule",
"metadata": {
"description": "Sample Description of the Rule",
"author": "author@example.com"
},
"ruleText": "rule SampleRule {
meta:
description = \"Sample Description of the Rule\"
author = \"author@example.com\"
events:
// This will just generate lots of detections
$event.metadata.event_type = \"NETWORK_HTTP\"
condition:
$event
} ",
"liveRuleEnabled": true,
"versionCreateTime": "2020-10-13T23:18:13.146879Z",
"compilationState": "SUCCEEDED"
}
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Get Rule Details (Regeldetails abrufen) mit der Chronicle API empfangen wird:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID",
"revisionId": "v_1733917896_973567000",
"displayName": "Test_rule_SingleEvent",
"text": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"author": "example_user",
"metadata": {
"author": "example_user",
"description": "windowed single event example rule",
"severity": null
},
"createTime": "2024-12-11T11:36:18.192127Z",
"revisionCreateTime": "2024-12-11T11:51:36.973567Z",
"compilationState": "SUCCEEDED",
"type": "SINGLE_EVENT",
"allowedRunFrequencies": [
"LIVE",
"HOURLY",
"DAILY"
],
"etag": "CMj55boGEJjondAD",
"ruleId": "RULE_ID",
"versionId": "RULE_ID@v_1733917896_973567000",
"ruleName": "Test_rule_SingleEvent",
"ruleText": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"ruleType": "SINGLE_EVENT",
"versionCreateTime": "2024-12-11T11:51:36.973567Z"
}
Ausgabemeldungen
Die Aktion Get Rule Details (Regeldetails abrufen) gibt die folgenden Ausgabenachrichten zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully fetched information about the rule with ID
RULE_ID in Google Chronicle.
|
Die Aktion wurde ausgeführt. |
Error executing action "Get Rule Details". Reason:
ERROR_REASON
|
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Rule Details (Regeldetails abrufen) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Wert in Datentabelle
Mit Is Value In Data Table (Ist Wert in Datentabelle) können Sie prüfen, ob die angegebenen Werte in einer Datentabelle in Google SecOps enthalten sind.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Is Value In Data Table (Ist Wert in Datentabelle) sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Data Table Name |
Erforderlich. Der Anzeigename der zu durchsuchenden Datentabelle. |
Column |
Optional. Eine durch Kommas getrennte Liste der zu durchsuchenden Spalten. Wenn kein Wert angegeben ist, werden alle Spalten durchsucht. |
Values |
Erforderlich. Eine durch Kommas getrennte Liste von Werten, nach denen gesucht werden soll. |
Case Insensitive Search |
Optional. Wenn diese Option ausgewählt ist, wird bei der Suche nicht zwischen Groß- und Kleinschreibung unterschieden. Standardmäßig aktiviert. |
Max Data Table Rows To Return |
Erforderlich. Die Anzahl der Datenzeilen, die pro übereinstimmendem Wert zurückgegeben werden sollen. Der Höchstwert ist |
Aktionsausgaben
Die Aktion Is Value In Data Table (Ist Wert in Datentabelle) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Is Value In Data Table (Ist Wert in Datentabelle) empfangen wird:
[{
"Entity": "asda",
"EntityResult": {
"is_found": true,
"matched_rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
}]
Ausgabemeldungen
Für die Aktion Is Value In Data Table (Ist Wert in Datentabelle) sind die folgenden Ausgabemeldungen verfügbar:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully searched provided values in the data table {data table}
in Google SecOps.
|
Die Aktion wurde ausgeführt. |
| Fehler beim Ausführen der Aktion „Is Value In Data Table“ (Ist Wert in Datentabelle). Grund: ERROR_REASON | Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Is Value In Data Table". Reason: the
following data tables were not found in:
DATA_TABLE_NAME:
COLUMN_NAMES. Please check the
spelling.
|
Die Aktion ist fehlgeschlagen. |
Error executing action "Is Value In Data Table". Reason:
This action is not supported for Backstory API configuration. Please update
the integration configuration.
|
Die Aktion ist fehlgeschlagen. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Is Value In Data Table (Ist Wert in Datentabelle) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Ist Wert in Referenzliste
Mit der Aktion Is Value In Reference List (Ist Wert in Referenzliste) können Sie prüfen, ob die angegebenen Werte in Referenzlisten in Google SecOps enthalten sind.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Is Value In Reference List sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Reference List Names |
Erforderlich. Eine durch Kommas getrennte Liste mit Namen von Referenzlisten, die durchsucht werden sollen. |
Values |
Erforderlich. Eine durch Kommas getrennte Liste von Werten, nach denen gesucht werden soll. |
Case Insensitive Search |
Optional. Wenn diese Option ausgewählt ist, wird bei der Suche nicht zwischen Groß- und Kleinschreibung unterschieden. |
Aktionsausgaben
Die Aktion Is Value In Reference List (Ist Wert in Referenzliste) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Is Value In Reference List (Ist Wert in Referenzliste) mit der Backstory API empfangen wird:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Is Value In Reference List (Wert in Referenzliste) mit der Chronicle API empfangen wird:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
Ausgabemeldungen
Die Aktion Is Value In Reference List (Ist Wert in Referenzliste) gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully searched provided values in the reference lists in
Google Chronicle.
|
Die Aktion wurde ausgeführt. |
| Fehler beim Ausführen der Aktion „Is Value In Reference List“ (Ist Wert in Referenzliste). Grund: ERROR_REASON | Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Is Value In Reference List". Reason: the
following reference lists were not found in Google Chronicle:
MISSING_REFERENCE_LIST_NAME(S).
Please use the action "Get Reference Lists" to see what reference lists are
available.
|
Die Aktion ist fehlgeschlagen. Führen Sie die Aktion Referenzlisten abrufen aus, um nach verfügbaren Listen zu suchen. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Is Value In Reference List (Ist Wert in Referenzliste) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Assets auflisten
Mit der Aktion Assets auflisten können Sie Assets in Google SecOps SIEM anhand von zugehörigen Entitäten in einem angegebenen Zeitraum auflisten.
Diese Aktion unterstützt nur die Hashes MD5, SHA-1 und SHA-256.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
URLIP AddressHash
Aktionseingaben
Für die Aktion Assets auflisten sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Max Hours Backwards |
Die Anzahl der Stunden vor dem aktuellen Zeitpunkt, in denen die Assets abgerufen werden sollen.
Der Standardwert ist |
Create Insight |
Wenn diese Option ausgewählt ist, wird durch die Aktion ein Insight mit Informationen zu den Entitäten erstellt. Standardmäßig aktiviert. |
Max Assets To Return |
Die Anzahl der zurückzugebenden Assets. Der Standardwert ist |
Time Frame |
Optional. Ein Zeitraum, für den die Ergebnisse abgerufen werden sollen. Folgende Werte sind möglich:
Wenn Der Standardwert ist |
Start Time |
Die Startzeit im ISO 8601-Format. Dieser Parameter ist erforderlich, wenn der Parameter |
End Time |
Die Endzeit im ISO 8601-Format.
Wenn Sie keinen Wert festlegen und den Parameter |
Aktionsausgaben
Die Aktion List Assets (Assets auflisten) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Name: ENTITY_IDENTIFIER
Spalten:
- Hostname
- IP-Adresse
- Erstes gesehenes Artefakt
- Zuletzt gesehenes Artefakt
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Assets auflisten mit der Backstory API empfangen wird:
{
"assets": [
{
"asset": {
"hostname": "example"
},
"firstSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-02-28T09:18:15.675Z"
},
"lastSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-09-24T06:43:59Z"
}
}
],
"uri": [
"https://INSTANCE/domainResults?domain=www.example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2020-09-27T12%3A07%3A34.166830443Z"
]
}
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Assets auflisten mit der Chronicle API empfangen wird:
[
{
"Entity": "192.0.2.229",
"EntityResult": {
"assets": [
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Open Source Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2024-09-20T14:14:07.843Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Open Source Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "OPEN_SOURCE_INTEL_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "ex ",
"valueType": "DOMAIN_NAME"
}
},
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Active Breach Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2023-07-05T02:42:52.935Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Active Breach Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "MANDIANT_ACTIVE_BREACH_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "example.com",
"valueType": "DOMAIN_NAME"
}
}
],
"uri": "https://INSTANCE.backstory.chronicle.security/destinationIpResults?ADDRESS=192.0.2.229&selectedList=IpViewDistinctAssets&referenceTime=2025-01-23T11%3A16%3A24.517449Z"
}
}
]
Ausgabemeldungen
Die Aktion Assets auflisten gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully listed related assets for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
Die Aktion wurde ausgeführt. |
Error executing action "List Assets". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion List Assets beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ereignisse auflisten
Mit der Aktion Ereignisse auflisten können Sie Ereignisse für ein bestimmtes Asset innerhalb eines angegebenen Zeitraums auflisten.
Mit dieser Aktion können nur 10.000 Ereignisse abgerufen werden.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
IP addressMAC addressHostname
Aktionseingaben
Für die Aktion List Events sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Event Types |
Eine durch Kommas getrennte Liste von Ereignistypen.
Wenn kein Wert angegeben ist, werden alle Ereignistypen abgerufen. Eine Liste aller möglichen Werte finden Sie unter Mögliche Werte für den Ereignistyp. |
Time Frame |
Der angegebene Zeitraum. Wir empfehlen, ihn so klein wie möglich zu halten, um bessere Ergebnisse zu erzielen.
Wenn Wenn Folgende Werte sind möglich:
Der Standardwert ist |
Start Time |
Die Startzeit im ISO 8601-Format. Dieser Parameter ist erforderlich, wenn der Parameter |
End Time |
Die Endzeit im ISO 8601-Format. Wenn kein Wert angegeben wird und der Parameter Dieser Parameter akzeptiert den Wert |
Reference Time |
Die Referenzzeit für die Ereignissuche.
Wenn kein Wert angegeben ist, wird die Endzeit als Referenz verwendet. |
Output |
Erforderlich. Das Ausgabeformat. Folgende Werte sind möglich:
|
Max Events To Return |
Die Anzahl der Ereignisse, die für jeden Entitätstyp verarbeitet werden sollen. Der Standardwert ist |
Mögliche Werte für den Ereignistyp
Folgende Werte sind für den Parameter Event Type möglich:
EVENTTYPE_UNSPECIFIEDPROCESS_UNCATEGORIZEDPROCESS_LAUNCHPROCESS_INJECTIONPROCESS_PRIVILEGE_ESCALATIONPROCESS_TERMINATIONPROCESS_OPENPROCESS_MODULE_LOADREGISTRY_UNCATEGORIZEDREGISTRY_CREATIONREGISTRY_MODIFICATIONREGISTRY_DELETIONSETTING_UNCATEGORIZEDSETTING_CREATIONSETTING_MODIFICATIONSETTING_DELETIONMUTEX_UNCATEGORIZEDMUTEX_CREATIONFILE_UNCATEGORIZEDFILE_CREATIONFILE_DELETIONFILE_MODIFICATIONFILE_READFILE_COPYFILE_OPENFILE_MOVEFILE_SYNCUSER_UNCATEGORIZEDUSER_LOGINUSER_LOGOUTUSER_CREATIONUSER_CHANGE_PASSWORDUSER_CHANGE_PERMISSIONSUSER_STATSUSER_BADGE_INUSER_DELETIONUSER_RESOURCE_CREATIONUSER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_UPDATE_PERMISSIONSUSER_COMMUNICATIONUSER_RESOURCE_ACCESSUSER_RESOURCE_DELETIONGROUP_UNCATEGORIZEDGROUP_CREATIONGROUP_DELETIONGROUP_MODIFICATIONEMAIL_UNCATEGORIZEDEMAIL_TRANSACTIONEMAIL_URL_CLICKNETWORK_UNCATEGORIZEDNETWORK_FLOWNETWORK_CONNECTIONNETWORK_FTPNETWORK_DHCPNETWORK_DNSNETWORK_HTTPNETWORK_SMTPSTATUS_UNCATEGORIZEDSTATUS_HEARTBEATSTATUS_STARTUPSTATUS_SHUTDOWNSTATUS_UPDATESCAN_UNCATEGORIZEDSCAN_FILESCAN_PROCESS_BEHAVIORSSCAN_PROCESSSCAN_HOSTSCAN_VULN_HOSTSCAN_VULN_NETWORKSCAN_NETWORKSCHEDULED_TASK_UNCATEGORIZEDSCHEDULED_TASK_CREATIONSCHEDULED_TASK_DELETIONSCHEDULED_TASK_ENABLESCHEDULED_TASK_DISABLESCHEDULED_TASK_MODIFICATIONSYSTEM_AUDIT_LOG_UNCATEGORIZEDSYSTEM_AUDIT_LOG_WIPESERVICE_UNSPECIFIEDSERVICE_CREATIONSERVICE_DELETIONSERVICE_STARTSERVICE_STOPSERVICE_MODIFICATIONGENERIC_EVENTRESOURCE_CREATIONRESOURCE_DELETIONRESOURCE_PERMISSIONS_CHANGERESOURCE_READRESOURCE_WRITTENANALYST_UPDATE_VERDICTANALYST_UPDATE_REPUTATIONANALYST_UPDATE_SEVERITY_SCOREANALYST_UPDATE_STATUSANALYST_ADD_COMMENT
Aktionsausgaben
Die Aktion List Events (Ereignisse auflisten) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion List Events (Ereignisse auflisten) empfangen wird:
{
"statistics": {
"NETWORK_CONNECTION": 10
}
{
"events": [
{
"metadata": {
"eventTimestamp": "2020-09-28T14:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
},
{
"metadata": {
"eventTimestamp": "2020-09-28T17:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
}
],
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=user-example-pc&referenceTime=2020-09-28T17%3A00%3A00Z&selectedList=AssetViewTimeline&startTime=2020-09-28T14%3A20%3A00Z&endTime=2020-09-28T20%3A20%3A00Z"
]
}
}
Ausgabemeldungen
Die Aktion List Events (Ereignisse auflisten) gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully listed related events for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
Die Aktion wurde ausgeführt. |
Error executing action "List Events". Reason:
ERROR_REASON
|
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "List Events". Reason: invalid event type
is provided. Please check the spelling. Supported event types:
SUPPORTED_EVENT_TYPES
|
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Rechtschreibung. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ereignisse auflisten beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
IOCs auflisten
Mit der Aktion IOCs auflisten können Sie alle in Ihrem Unternehmen innerhalb eines bestimmten Zeitraums erkannten IOCs auflisten.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion List IOCs sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Start Time |
Die Startzeit für die Ergebnisse im ISO 8601-Format. |
Max IoCs to Fetch |
Die maximale Anzahl der zurückzugebenden IoCs.
Der Bereich liegt zwischen Der Standardwert ist |
Aktionsausgaben
Die Aktion IOCs auflisten bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Spalten:
- Domain
- Kategorie
- Quelle
- Verlässlichkeit
- Schweregrad
- IOC-Aufnahmezeit
- IoC First Seen Time
- IoC Last Seen Time (Zeitpunkt des letzten Auftretens von IoC)
- URI
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion List IOCs (IOCs auflisten) empfangen wird:
{
"matches":[
{
"artifact":{
"domainName":"www.example.com"
},
"firstSeenTime":"2018-05-25T20:47:11.048998Z",
"iocIngestTime":"2019-08-14T21:00:00Z",
"lastSeenTime":"2019-10-24T16:19:46.880830Z",
"sources":[
{
"category":"Spyware Reporting Server",
"confidenceScore":{
"intRawConfidenceScore":0,
"normalizedConfidenceScore":"Low"
},
"rawSeverity":"Medium",
"source":"Example List"
}
],
"uri":["URI"]
}
],
"moreDataAvailable":true
}
Ausgabemeldungen
Die Aktion IOCs auflisten gibt die folgenden Ausgabenachrichten zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully listed IOCs from the provided timeframe in Google
Chronicle. |
Die Aktion wurde ausgeführt. |
Error executing action "List IOCs". Reason:
ERROR_REASON.
|
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion IOCs auflisten beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ähnliche Warnungen suchen
Mit der Aktion Lookup Similar Alerts (Ähnliche Benachrichtigungen suchen) können Sie in Google SecOps nach ähnlichen Benachrichtigungen suchen.
Diese Aktion funktioniert nur mit Google SecOps-Benachrichtigungen, die vom Chronicle Alerts Connector empfangen wurden.
Aktionseingaben
Für die Aktion Lookup Similar Alerts sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Time Frame |
Der angegebene Zeitraum für die Ergebnisse. Für optimale Ergebnisse sollte der Zeitraum so kurz wie möglich sein.
Folgende Werte sind möglich:
|
IOCs / Assets |
Erforderlich. Eine durch Kommas getrennte Liste von IoCs oder Assets, die in den Benachrichtigungen gefunden werden sollen. Bei der Aktion wird für jedes bereitgestellte Element eine separate Suche durchgeführt. |
Similarity By |
Die Attribute, die zum Suchen ähnlicher Benachrichtigungen verwendet werden. Folgende Werte sind möglich:
Der Standardwert ist |
Funktionsweise des Parameters „Ähnlichkeit nach“
Der Parameter Similarity By wird bei Regelbenachrichtigungen und externen Benachrichtigungen unterschiedlich angewendet.
Wenn
Alert Name, Alert Type and ProductoderAlert Name, Alert Typeausgewählt ist:Bei externen Benachrichtigungen wird nach anderen externen Benachrichtigungen mit demselben Namen gesucht.
Bei Regelbenachrichtigungen werden mit der Aktion Benachrichtigungen verarbeitet, die von derselben Regel stammen.
Wenn
Productausgewählt ist:- Die Aktion verarbeitet Benachrichtigungen, die vom selben Produkt stammen, unabhängig davon, ob es sich um Regelbenachrichtigungen oder externe Benachrichtigungen handelt.
Eine Warnung, die von Crowdstrike stammt, wird beispielsweise nur mit anderen Warnungen von Crowdstrike abgeglichen.
Wenn
Only IOCs/Assetsausgewählt ist:Die Aktion entspricht Benachrichtigungen basierend auf den im Parameter
IOCs/Assetsangegebenen IOCs. Es wird sowohl in Regelbenachrichtigungen als auch in externen Benachrichtigungen nach diesen Indikatoren gesucht.Bei einer IOC-Benachrichtigung kann diese Aktion nur ausgeführt werden, wenn diese Option ausgewählt ist. Wenn eine andere Option angegeben wird, wird standardmäßig die Aktion
Only IOCs/Assetsausgeführt.
Die Aktion Ähnliche Benachrichtigungen suchen ist ein vielseitiges Tool zur Analyse von Benachrichtigungen. So können Analysten Warnungen aus demselben Zeitraum in Beziehung setzen und relevante Bedrohungsindikatoren extrahieren, um festzustellen, ob es sich bei einem Vorfall um ein echtes Positiv handelt.
Aktionsausgaben
Die Aktion Lookup Similar Alerts (Ähnliche Benachrichtigungen suchen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die beim Verwenden der Aktion Lookup Similar Alerts (Ähnliche Benachrichtigungen suchen) empfangen wird:
{
"count": 123,
"distinct": [
{
"first_seen": "time of the first alert that matched our conditions",
"last_seen": "time of the last alert that matched our conditions",
"product_name": "product name",
"used_ioc_asset": "what user provided in the parameter IOCs and Assets",
"name": "Alert Name/Rule Name",
"hostnames": "csv list of unique hostnames that were found in alerts",
"urls": "csv list of unique urls that were found in alerts",
"ips": "csv list of unique ips that were found in alerts",
"subjects": "csv list of unique subjects that were found in alerts",
"users": "csv list of unique users that were found in alerts",
"email_addresses": "csv list of unique email_addresses that were found in alerts",
"hashes": "csv list of unique hashes that were found in alerts",
"processes": "csv list of unique processes that were found in alerts"
"rule_urls": ["Chronicle URL from API response for Rule"]
"count": 123
}
],
"processed_alerts": 10000,
"run_time": "how long it took to run the action or at least API request",
"EXTERNAL_url": "Chronicle URL from API response for EXTERNAL"
}
Ausgabemeldungen
Die Aktion Lookup Similar Alerts (Ähnliche Benachrichtigungen suchen) gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Lookup Similar Alerts". Reason:
ERROR_REASON
|
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Error executing action "Lookup Similar Alerts". Reason: all of the
retries are exhausted. Please wait for a minute and try again.
|
Die Aktion ist fehlgeschlagen. Warte eine Minute, bevor du die Aktion noch einmal ausführst. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Lookup Similar Alerts (Ähnliche Benachrichtigungen suchen) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Tabelle „Fall-Repository“
Tabellenname: IOC/ASSET_IDENTIFIER
Tabellenspalten:
- Produkt
- Hostnamen
- IPs
- Nutzer
- E-Mail-Adressen
- Themen
- URLs
- Hashes
- Prozesse
- Zuerst erfasst
- Zuletzt gesehen
- Name der Benachrichtigung
- Allgemein
Link zum Fall‑Repository
Die Aktion Ähnliche Benachrichtigungen suchen kann die folgenden Links zurückgeben:
- CBN: GENERATED_LINK_BASED_ON_IU_ROOT_URL
- Regel: GENERATED_LINK_BASED_ON_IU_ROOT_URL
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu Google SecOps zu testen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Ping gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully connected to the Google Chronicle backstory with the
provided connection parameters! |
Die Aktion wurde ausgeführt. |
Failed to connect to the Google Chronicle backstory. Error is
ERROR_REASON
|
Die Aktion ist fehlgeschlagen. Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Zeilen aus Datentabelle entfernen
Mit der Aktion Remove Rows From Data Table (Zeilen aus Datentabelle entfernen) können Sie Zeilen aus einer Datentabelle in Google SecOps entfernen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Zeilen aus Datentabelle entfernen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Data Table Name |
Erforderlich. Der Anzeigename der Datentabelle, die aktualisiert werden soll. |
Rows |
Erforderlich. Eine Liste von JSON-Objekten, die zum Suchen und Löschen von Zeilen verwendet werden. Es sollten nur gültige Spalten enthalten sein. Der Standardwert ist: |
Aktionsausgaben
Die Aktion Zeilen aus Datentabelle entfernen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Zeilen aus Datentabelle entfernen empfangen wird:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
Ausgabemeldungen
Für die Aktion Zeilen aus Datentabelle entfernen werden die folgenden Ausgabemeldungen bereitgestellt:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully removed rows from the data table
DATA_TABLE_NAME in
Google SecOps.
|
Die Aktion wurde ausgeführt. |
Error executing action "Remove Rows From Data Table". Reason:
ERROR_REASON
|
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Zeilen aus Datentabelle entfernen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Werte aus der Referenzliste entfernen
Mit der Aktion Remove Values From Reference List (Werte aus Referenzliste entfernen) können Sie Werte aus einer Referenzliste in Google SecOps entfernen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Werte aus Referenzliste entfernen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Reference List Name |
Erforderlich. Der Name der zu aktualisierenden Referenzliste. |
Values |
Erforderlich. Eine durch Kommas getrennte Liste von Werten, die aus der Referenzliste entfernt werden sollen. |
Aktionsausgaben
Die Aktion Werte aus Referenzliste entfernen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Remove Values From Reference List (Werte aus Referenzliste entfernen) mit der Backstory API empfangen wird:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die beim Verwenden der Aktion Remove Values From Reference List (Werte aus Referenzliste entfernen) mit der Chronicle API empfangen wird:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/<var class="readonly">REFERENCE_LIST_NAME</var>' }}",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Ausgabemeldungen
Die Aktion Werte aus Referenzliste entfernen gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully removed values from the reference list.
|
Die Aktion wurde ausgeführt. |
Error executing action "Remove Values From Reference List". Reason:
ERROR_REASON
|
Die Aktion ist fehlgeschlagen.
Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Werte aus Referenzliste entfernen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Connectors
Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).
Google Chronicle – Chronicle Alerts Connector
Mit dem Google Chronicle – Chronicle Alerts Connector können Sie Informationen zu regelbasierten Benachrichtigungen aus Google SecOps SIEM abrufen.
Dieser Connector kann mithilfe einer dynamischen Liste gefiltert werden.
Übersicht
Der Google Chronicle – Chronicle Alerts Connector erfasst mehrere Benachrichtigungstypen aus Google SecOps SIEM.
Wichtige Funktionen und Betriebsdetails:
Es werden Daten innerhalb eines einwöchigen Zeitraums abgefragt.
Um zu verhindern, dass Benachrichtigungen aufgrund von Indexierungsverzögerungen verpasst werden, können ein Pufferzeitraum und ein erhöhtes Connector-Zeitlimit konfiguriert werden. Ein erheblicher Puffer kann sich jedoch negativ auf die Leistung auswirken.
Der Connector verwendet dynamische Listen für eine flexible Konfiguration.
Es wird ein
Fallback Severityfür Benachrichtigungen ohne Schweregradwert bereitgestellt.Zum Erfassen von IoCs muss in Google SecOps SIEM eine entsprechende Erkennungsregel erstellt werden, die auf Grundlage der IoCs Benachrichtigungen generiert.
Filter für dynamische Liste
Die dynamische Liste wird verwendet, um Benachrichtigungen direkt auf der Seite zur Connector-Konfiguration zu filtern.
Operatorlogik
In der dynamischen Liste wird eine Kombination aus AND- und OR-Logik verwendet, um Filterregeln zu verarbeiten:
ODER-Logik: Werte in derselben Zeile, die durch ein Komma getrennt sind, werden mit der ODER-Logik behandelt (z. B.
Rule.severity = low,mediumbedeutetlowODERmedium-Schweregrad).AND-Logik: Jede separate Zeile in der dynamischen Liste wird mit AND-Logik behandelt. Eine Zeile für
Rule.severityund eine Zeile fürRule.ruleNamebedeutet alsoseverityANDruleName.Die unterstützten Operatoren (
=,!=,>,<,>=,<=) variieren je nach Filterschlüssel.
Hier sind einige Beispiele für die Verwendung von Operatorregeln:
- Rule.severity = medium: Der Connector nimmt nur Regelbenachrichtigungen mit dem Schweregrad „Mittel“ auf.
- Rule.severity = low,medium: Der Connector nimmt nur Regelbenachrichtigungen mit dem Schweregrad „Mittel“ oder „Niedrig“ auf.
- Rule.ruleName = default_rule: Der Connector nimmt nur Regelbenachrichtigungen mit dem Namen
default_ruleauf.
Unterstützte Filter
Der Chronicle Alerts Connector unterstützt das Filtern nach den folgenden Schlüsseln:
| Filterschlüssel | Antwortschlüssel | Operatoren | Mögliche Werte |
|---|---|---|---|
Rule.severity |
detection oder ruleLabels oder severity |
=, !=, >, <,
>=, <= |
Bei den Werten wird die Groß-/Kleinschreibung nicht berücksichtigt. |
Rule.ruleName |
detection oder ruleName |
=, != |
Vom Nutzer definiert. |
Rule.ruleID |
detection oder ruleId |
=, != |
Vom Nutzer definiert. |
Rule.ruleLabels.{key} |
detection oder ruleLabels |
=, != |
Vom Nutzer definiert. |
Umgang mit ruleLabels
Wenn Sie innerhalb einer Regel nach einem bestimmten Label filtern möchten, verwenden Sie das Format Rule.ruleLabels.{key}.
Wenn Sie beispielsweise nach einem Label mit dem Schlüssel type und dem Wert suspicious_behaviour filtern möchten, sollte die Eingabe für die dynamische Liste so aussehen:
Rule.ruleLabels.type=suspicious_behaviour
Connector-Eingaben
Für den Chronicle Alerts Connector sind die folgenden Parameter erforderlich:
Der Standardwert ist Medium.
| Parameter | Beschreibung |
|---|---|
Product Field Name |
Erforderlich. Der Name des Felds, in dem der Produktname gespeichert ist. Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst. Der Standardwert ist |
Event Field Name |
Erforderlich. Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt. |
Environment Field Name |
Optional. Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional. Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Script Timeout (Seconds) |
Erforderlich. Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. Der Standardwert ist |
API Root |
Erforderlich. Der API-Root der Google SecOps SIEM-Instanz. Google SecOps bietet regionale Endpunkte für jede API, z. B. Wenden Sie sich an Cloud Customer Care, um herauszufinden, welcher Endpunkt verwendet werden soll. Der Standardwert ist |
User's Service Account |
Erforderlich. Der vollständige JSON-Inhalt des Dienstkontos, das für die Authentifizierung verwendet wird. |
Fallback Severity |
Erforderlich. Der Standard-Schweregrad, der verwendet werden soll, wenn die Benachrichtigung von Google SecOps SIEM keinen Schweregradwert enthält. Folgende Werte sind möglich:
|
Max Hours Backwards |
Optional. Die Anzahl der Stunden vor dem ersten Connector-Lauf, aus denen Vorfälle abgerufen werden sollen. Dieser Parameter wird nur einmal angewendet. Der Höchstwert beträgt Der Standardwert ist |
Max Alerts To Fetch |
Optional. Die Anzahl der Benachrichtigungen, die in jeder Connector-Iteration verarbeitet werden sollen. Der Standardwert ist |
Disable Event Splitting |
Optional. Wenn diese Option ausgewählt ist, werden Originalereignisse nicht in mehrere Teile aufgeteilt. So stimmt die Anzahl der Ereignisse zwischen der Quelle und Google SecOps SOAR überein. Standardmäßig nicht aktiviert. |
Verify SSL |
Erforderlich. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum Google SecOps SIEM-Server validiert. Standardmäßig aktiviert. |
Proxy Server Address |
Optional. Die Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional. Der Proxy-Nutzername für die Authentifizierung. |
Proxy Password |
Optional. Das Proxy-Passwort für die Authentifizierung. |
Disable Overflow |
Optional. Wenn diese Option ausgewählt ist, ignoriert der Connector den Google SecOps-Überlaufmechanismus. Standardmäßig nicht aktiviert. |
Connector-Regeln
Der Google Chronicle – Chronicle Alerts Connector unterstützt Proxys.
Connector-Ereignisse
Der Google Chronicle – Chronicle Alerts Connector verarbeitet drei Arten von Ereignissen aus Google SecOps SIEM.
Regelbasierte Benachrichtigungen
Dieser Ereignistyp wird von einer Erkennungsregel in Google SecOps SIEM generiert.
{
"alert_type": "RULE",
"event_type": "NETWORK_DHCP",
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "d3_test",
"urlBackToProduct": "https://INSTANCE/ruleDetections?ruleId=ru_74dd17e2-5aad-4053-acd7-958bead014f2&selectedList=RuleDetectionsViewTimeline&selectedParentDetectionId=de_b5dadaf4-b398-325f-9f09-833b71b3ffbb&selectedTimestamp=2022-02-08T05:02:36Z&versionTimestamp=2020-11-19T18:19:11.951951Z",
"ruleId": "ru_74dd17e2-5aad-4053-acd7-958bead014f2",
"ruleVersion": "ru_74dd17e2-5aad-4053-acd7-958bead014f2@v_1605809951_951951000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT",
"ruleLabels": [
{
"key": "author",
"value": "analyst123"
},
{
"key": "description",
"value": "8:00 AM local time"
},
{
"key": "severity",
"value": "Medium"
}
]
}
],
"createdTime": "2022-02-08T06:07:33.944951Z",
"id": "de_b5dadaf4-b398-325f-9f09-833b71b3ffbb",
"timeWindow": {
"startTime": "2022-02-08T05:02:36Z",
"endTime": "2022-02-08T05:02:36Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2022-02-08T05:02:36Z",
"eventType": "NETWORK_DHCP",
"productName": "Infoblox DHCP",
"ingestedTimestamp": "2022-02-08T05:03:03.892234Z"
},
"principal": {
"ip": [
"198.51.100.255",
"198.51.100.1"
],
"mac": [
"01:23:45:ab:cd:ef"
],
"email_address": [
"example@example.com"
]
},
"target": {
"hostname": "dhcp_server",
"ip": [
"198.51.100.0",
"198.51.100.1"
]
},
"network": {
"applicationProtocol": "DHCP",
"dhcp": {
"opcode": "BOOTREQUEST",
"ciaddr": "198.51.100.255",
"giaddr": "198.51.100.0",
"chaddr": "01:23:45:ab:cd:ef",
"type": "REQUEST",
"clientHostname": "example-user-pc",
"clientIdentifier": "AFm/LDfjAw=="
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2022-02-08T05:02:36Z"
}
Externe Benachrichtigungen
Dieser Ereignistyp basiert auf einer externen Benachrichtigung, die in Google SecOps SIEM aufgenommen wird.
{
"alert_type": "External",
"event_type": "GENERIC_EVENT",
"name": "Authentication failure [32038]",
"sourceProduct": "Internal Alert",
"severity": "Medium",
"timestamp": "2020-09-30T18:03:34.898194Z",
"rawLog": "U2VwIDMwIDE4OjAzOjM0Ljg5ODE5NCAxMC4wLjI5LjEwOSBBdXRoZW50aWNhdGlvbiBmYWlsdXJlIFszMjAzOF0=",
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=198.51.100.109&namespace=[untagged]&referenceTime=2020-09-30T18%3A03%3A34.898194Z&selectedList=AssetViewTimeline&startTime=2020-09-30T17%3A58%3A34.898194Z&endTime=2020-09-30T18%3A08%3A34.898194Z&selectedAlert=-610875602&selectedEventTimestamp=2020-09-30T18%3A03%3A34.898194Z"
],
"event": {
"metadata": {
"eventTimestamp": "2020-09-30T18:03:34.898194Z",
"eventType": "GENERIC_EVENT",
"productName": "Chronicle Internal",
"ingestedTimestamp": "2020-09-30T18:03:34.991592Z"
},
"target": [
{
"ip": [
"198.51.100.255",
"198.51.100.1"
]
}
],
"securityResult": [
{
"summary": "Authentication failure [32038]",
"severityDetails": "Medium"
}
]
}
}
IOC-Benachrichtigungen
Dieser Ereignistyp entspricht einer vordefinierten Liste von IoCs.
{
"alert_type": "IOC",
"event_type": "IOC Alert",
"artifact": {
"domainName": "example.com"
},
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2020-09-07T11:00:00Z",
"firstSeenTime": "2018-10-03T00:01:59Z",
"lastSeenTime": "2022-02-04T20:02:29.191Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-08T15%3A08%3A52.434022777Z"
]
}
Struktur von Benachrichtigungen
In der folgenden Tabelle wird beschrieben, wie der Google Chronicle – Chronicle Alerts Connector die Attribute einer Benachrichtigung in Google SecOps ausfüllt. Die Benachrichtigungsattribute sind zur besseren Übersicht nach Herkunft und Benachrichtigungstyp gruppiert.
Intern generierte Attribute
Diese Attribute werden vom Framework generiert und sind für alle Benachrichtigungstypen einheitlich.
| Name des Benachrichtigungsattributs | Quelle |
|---|---|
SourceSystemName |
Intern vom Framework generiert. |
TicketId |
Der Wert wird aus der Datei ids.json übernommen. |
DisplayId |
Automatisch generiert. |
Attribute für alle Benachrichtigungstypen
Diese Attribute werden aus der Quellbenachrichtigung abgeleitet, ihr Quellschlüssel variiert jedoch je nach Benachrichtigungstyp.
| Name des Benachrichtigungsattributs | Quelle |
|---|---|
Priority |
Aus der API-Antwort oder dem Parameter Fallback Severity. |
DeviceVendor |
Der hartcodierte Wert ist Google Chronicle. |
DeviceProduct |
Ein fest codierter Wert, der vom Benachrichtigungstyp abhängt: RULE für Benachrichtigungen zur Regelerkennung, IOC für IOC-Übereinstimmungen oder EXTERNAL für externe Benachrichtigungen. |
Description |
Bei regelbasierten Benachrichtigungen stammt diese Information aus detection/ruleLabels/description (sofern vorhanden). Nicht für andere Benachrichtigungstypen verfügbar. |
Reason |
Nicht verfügbar. |
SourceGroupingIdentifier |
Nicht verfügbar. |
Chronicle Alert - Attachments |
Nicht verfügbar. |
Bestimmte Benachrichtigungstypen
Diese Attribute sind spezifisch für den Ursprung der Benachrichtigung. So lässt sich leichter nachvollziehen, wie die einzelnen Attribute ausgefüllt werden.
| Name des Benachrichtigungsattributs | Regelbasierte Benachrichtigungen | IOC-basierte Benachrichtigungen | Externe Warnungen |
|---|---|---|---|
Name |
detection/ruleName |
IOC Alert (hartcodiert) |
alertInfos/name |
RuleGenerator |
detection/ruleName |
IOC Alert (hartcodiert) |
alertInfos/name |
StartTime und EndTime |
timeWindow oder startTime |
lastSeenTime |
timestamp |
Chronicle Alert - Extensions |
rule_id (ruleId), product_name (CSV-Datei eines Ereignisses oder von Metadaten oder ein productName-Wert) |
Nicht zutreffend | alert_name (name), product_name (CSV-Datei eines UDM-Ereignisses oder von Metadaten oder ein productName-Wert) |
Verworfen: Google Chronicle – Alerts Connector
Dieser Connector ruft Asset-Benachrichtigungen aus Google SecOps SIEM ab und wandelt sie in Google SecOps SIEM-Benachrichtigungen um.
Sie können sich mit der Google-Bibliothek mit google.oauth2.service_account und AuthorizedSession authentifizieren.
Für diesen Connector ist die SIEM Search API von Google SecOps erforderlich.
Connector-Eingaben
Für den
| Parameter | Beschreibung |
|---|---|
Product Field Name |
Erforderlich.
Der Name des Felds, in dem der Produktname gespeichert ist. Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst. Der Standardwert ist |
Environment Field Name |
Optional. Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional. Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Script Timeout (Seconds) |
Erforderlich. Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. Der Standardwert ist |
Service Account Credentials |
Erforderlich. Der Inhalt der JSON-Datei des Dienstkontos. |
Fetch Max Hours Backwards |
Optional. Die Anzahl der Stunden vor dem ersten Connectorlauf, ab dem Vorfälle abgerufen werden sollen. Dieser Parameter wird nur einmal angewendet. Der Höchstwert beträgt Der Standardwert ist |
Verworfen: Google Chronicle – IoCs Connector
Verwenden Sie stattdessen den Chronicle Alerts Connector.
Dieser Connector ruft die IOC-Domain-Übereinstimmungen aus Google SecOps SIEM ab und wandelt sie in Google SecOps SIEM-Benachrichtigungen um.
Sie können sich mit der Google-Bibliothek mit google.oauth2.service_account und AuthorizedSession authentifizieren.
Dieser Connector verwendet die Google SecOps SIEM Search API.
Connector-Eingaben
Für den Google Chronicle – IoCs Connector sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Product Field Name |
Erforderlich.
Der Name des Felds, in dem der Produktname gespeichert ist. Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst. Der Standardwert ist |
Environment Field Name |
Optional. Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional. Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Script Timeout (Seconds) |
Erforderlich. Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. Der Standardwert ist |
Service Account Credentials |
Erforderlich. Der Inhalt der JSON-Datei des Dienstkontos. |
Fetch Max Hours Backwards |
Optional. Die Anzahl der Stunden vor dem ersten Connector-Lauf, ab dem Benachrichtigungen abgerufen werden sollen. Dieser Parameter wird nur einmal angewendet. Der Höchstwert beträgt Der Standardwert ist |
Max Alerts To Fetch |
Optional. Die maximale Anzahl von Benachrichtigungen, die in jeder Connector-Iteration verarbeitet werden sollen. Der Standardwert ist |
| Beobachtetes Feld | Synchronisiertes Feld |
|---|---|
Priority |
Priority |
Status |
Status |
Title |
Title |
| Nicht zutreffend | Stage |
| Nicht zutreffend | Google SecOps Case ID |
| Nicht zutreffend | Google SecOps Case ID |
Die Google SecOps-Vorgangs-ID ist eine eindeutige Vorgangskennung in Google SecOps SOAR und Google SecOps SIEM.
Der Job Google Chronicle Sync Data verfolgt und synchronisiert die folgenden Felder für Benachrichtigungen:
| Beobachtetes Feld | Synchronisiertes Feld |
|---|---|
Priority |
Priority |
Status |
Status |
Case ID |
Nicht zutreffend |
| Nicht zutreffend | Google SecOps Alert ID |
| Nicht zutreffend | Google SecOps Case ID |
| Nicht zutreffend | Verdict |
| Nicht zutreffend | Closure Comment |
| Nicht zutreffend | Closure Reason |
| Nicht zutreffend | Closure Root Cause |
| Nicht zutreffend | Usefulness |
Die Google SecOps-Benachrichtigungs-ID ist eine eindeutige Benachrichtigungs-ID in Google SecOps SOAR.
In einem Durchlauf werden bis zu 1.000 Vorgänge und 1.000 Benachrichtigungen synchronisiert. Die Synchronisierung erfolgt in der Google SecOps SOAR-Umgebung, die in der Jobkonfiguration angegeben ist. Der Synchronisierungsmechanismus sorgt dafür, dass ein Fall aus der angegebenen Umgebung nicht mit einer anderen Umgebung synchronisiert werden kann.
Google Chronicle Sync Data-Job konfigurieren
Mit diesem Job werden nur die Google SecOps SOAR-Vorgänge synchronisiert, die aus Google SecOps SIEM aufgenommen wurden.
Führen Sie die erforderlichen Schritte aus, bevor Sie den Job konfigurieren.
So konfigurieren Sie den Job Google Chronicle Sync Data:
Konfigurieren Sie im Bereich Parameter die folgenden Parameter:
Parameter Beschreibung EnvironmentErforderlich.
Der Name der Umgebung, die in Google SecOps SOAR erstellt wurde und in der Sie Supportanfragen und Benachrichtigungen synchronisieren möchten.
API RootErforderlich.
Der API-Root der Google SecOps SIEM-Instanz.
Google SecOps bietet regionale Endpunkte für jede API.
Beispiel:
https://europe-backstory.googleapis.comoderhttps://asia-southeast1-backstory.googleapis.com.Wenn Sie nicht wissen, welchen Endpunkt Sie verwenden sollen, [wenden Sie sich an Cloud Customer Care](/chronicle/docs/getting-support).
Der Standardwert ist
https://backstory.googleapis.com.User's Service AccountErforderlich.
Der Inhalt der JSON-Datei des Dienstkontos Ihrer Google SecOps SIEM-Instanz.
Max Hours BackwardsOptional.
Die Anzahl der Stunden, aus denen Benachrichtigungen abgerufen werden sollen. Verwenden Sie nur positive Zahlen. Wenn Sie 0 oder eine negative Zahl eingeben, wird ein Fehler gemeldet. Wenn dieser Parameter leer ist, wird der Standardwert für den Job verwendet.
Der Standardwert ist
24.Verify SSLErforderlich.
Wenn diese Option ausgewählt ist, prüft Google SecOps, ob das SSL-Zertifikat für die Verbindung zum Google SecOps SIEM-Server gültig ist. Wir empfehlen, diese Option auszuwählen.
Standardmäßig ausgewählt.
Der Job Google Chronicle Sync Data ist standardmäßig aktiviert. Wenn Sie den korrekt konfigurierten Job speichern, werden die Daten sofort mit Google SecOps SIEM synchronisiert. Wenn Sie den Job deaktivieren möchten, stellen Sie den Schalter neben dem Jobnamen auf „Aus“.
Klicken Sie auf Speichern, um die Konfiguration abzuschließen.
Wenn die Schaltfläche Speichern inaktiv ist, haben Sie möglicherweise nicht alle erforderlichen Parameter festgelegt.
Optional: Wenn Sie den Job sofort nach dem Speichern ausführen möchten, klicken Sie auf Jetzt ausführen.
Mit der Option Jetzt ausführen können Sie einen einzelnen Joblauf auslösen, bei dem die aktuellen Daten zu Benachrichtigungen und Fällen von Google SecOps SOAR mit Google SecOps SIEM synchronisiert werden.
Logeinträge
In der folgenden Tabelle sind mögliche Logmeldungen für den Job Google Chronicle Data Sync aufgeführt:
| Logeintrag | Typ | Beschreibung |
|---|---|---|
Unable to parse credentials as JSON. Please validate creds.
|
Fehler | Das im Parameter User's Service Account angegebene Dienstkonto ist beschädigt. |
"Max Hours Backwards" parameter must be a positive number. |
Fehler | Der Parameter Max Hours backwards ist auf 0 oder eine negative Zahl festgelegt. |
Current platform version does not support SDK methods designed for
Google SecOps. Please use version 6.1.33 or higher. |
Fehler | Die aktuelle Version der Google SecOps-Plattforminstanz unterstützt die Ausführung des Chronicle Sync Data-Jobskripts nicht. Das bedeutet, dass die Build-Version der Instanz älter als 6.1.33 ist. |
Unable to connect to Google SecOps, please validate
your credentials: CREDENTIALS |
Fehler | Das Dienstkonto oder die API-Stammwerte konnten nicht anhand der Google SecOps SIEM-Instanz validiert werden. Dieser Fehler wird gemeldet, wenn der Konnektivitätstest fehlschlägt. |
--- Start Processing Updated Cases --- |
Info | Die Fallbearbeitungsschleife wurde gestartet. |
Last success time. Date time:DATE_AND_TIME.
Unix:UNIX_EPOCH_TIME
|
Info | Der Zeitstempel der letzten erfolgreichen Skriptausführung für Fälle oder Benachrichtigungen:
|
Key: "DATABASE_KEY" does not exist in the
database. Returning default
value instead: DEFAULT_VALUE |
Info | Der ausstehende Fall oder der Datenbankschlüssel für die Benachrichtigung ist in der Datenbank nicht vorhanden. Dieser Logeintrag wird immer bei der ersten Ausführung des Skripts angezeigt. |
Failed to parse data as JSON. Returning default value instead:
"DEFAULT_VALUE. ERROR:
ERROR |
Fehler | Der aus der Datenbank abgerufene Wert hat kein gültiges JSON-Format. |
Exception was raised from the database. ERROR:
ERROR. |
Fehler | Es gibt ein Verbindungsproblem mit der Datenbank. |
|
Info | Die IDs der ausstehenden Fälle oder Benachrichtigungen wurden erfolgreich aus dem Backlog abgerufen. CASE_IDS ist die Anzahl der Fall‑IDs, die eingebracht wurden. |
|
Fehler | Die Anzahl der aus der Datenbank abgerufenen ausstehenden Fälle oder Benachrichtigungs-IDs überschreitet das Limit (1.000). Alle IDs, die das Limit überschreiten, werden ignoriert. Dieser Fehler kann auf eine mögliche Beschädigung der Datenbank hinweisen. |
|
Info | Die neu aktualisierten Fall- oder Benachrichtigungs-IDs wurden erfolgreich von der Plattform abgerufen. |
|
Info | Die Aktualisierung von Fällen und Benachrichtigungen in der Google SecOps SIEM-Instanz wurde gestartet. |
|
Fehler | Der angegebene Fall oder die angegebene Benachrichtigung kann nicht mit Google SecOps SIEM synchronisiert werden. |
|
Info | Das angegebene ausstehende Case oder der angegebene ausstehende Hinweis hat das Limit für Synchronisierungsversuche (5) erreicht und wird nicht wieder in den Backlog eingefügt. |
|
Info | Die Liste der Fall- oder Benachrichtigungs-IDs, die nicht mit Google SecOps SIEM synchronisiert werden können. |
Updated External Case IDs for the following cases:
CASE_IDS |
Info | Die Liste der Fälle, für die durch den Job die entsprechende externe Fall-ID für Google SecOps SIEM in der Google SecOps SOAR-Plattform aktualisiert wurde. |
Failed to update external ids. |
Fehler | Der Logeintrag, der angibt, dass ein Problem mit der SDK-Methode oder -Verbindung vorlag, das die Aktualisierung externer Fall-IDs auf der Plattform verhindert hat. |
|
Fehler | Der Logeintrag gibt an, dass ein bestimmter schwerwiegender Fehler aufgetreten ist, der verhindert hat, dass die Verarbeitungsschleife für den Fall oder die Benachrichtigungen normal beendet wurde. Der Stacktrace wird nach diesem Log mit dem spezifischen Fehler ausgegeben. |
|
Info | Die Verarbeitungsschleife für Fälle und Benachrichtigungen wurde entweder auf natürliche Weise oder mit einem Fehler beendet. |
|
Fehler | Die Liste der fehlgeschlagenen Fall- oder Benachrichtigungs-IDs, deren Anzahl der Wiederholungsversuche kleiner oder gleich 5 ist, die in den Backlog zurückgeschrieben werden sollen. |
|
Info | Die Bearbeitungsphase für den Fall und die Benachrichtigung ist abgeschlossen. |
Saving timestamps. |
Info | Die Zeitstempel der letzten erfolgreichen Fall- und Benachrichtigungsaktualisierung werden in der Datenbank gespeichert. |
Saving pending ids. |
Info | Speichern ausstehender Fall- und Benachrichtigungs-IDs in der Datenbank. |
Got exception on main handler. Error:
ERROR_REASON |
Fehler | Ein allgemeiner Kündigungsfehler ist aufgetreten. Der Stacktrace wird nach diesem Log mit dem spezifischen Fehler ausgegeben. |
Google Chronicle Alerts Creator
Für den Job Google Chronicle Alerts Creator ist die Google SecOps-Plattformversion 6.2.30 oder höher erforderlich.
Mit diesem Job werden alle Benachrichtigungen aus Google SecOps SOAR in Google SecOps SIEM erstellt, einschließlich Überlaufbenachrichtigungen. Mit dem Job Google Chronicle Alerts Creator werden keine Benachrichtigungen repliziert, die von Google SecOps stammen.
Der Job Google Chronicle Alerts Creator fragt die SOAR-Plattform mithilfe des Python SDK nach nicht synchronisierten Benachrichtigungen ab. Der Job sendet nicht synchronisierte Benachrichtigungen einzeln an das SIEM. SIEM aktualisiert und gibt die Kennungen der entsprechenden SIEM-Benachrichtigungen zurück. SOAR speichert die Kennungen über die SOAR-Plattform-API über das Python SDK.
Beziehung zwischen den Google Chronicle-Jobs
Ein vollständiges Google SecOps-System führt die folgenden drei Komponenten gleichzeitig aus:
- Chronicle Alerts Connector
- Google Chronicle Sync Data-Job
- Google Chronicle Alerts Creator-Job
Mit dem Job Google Chronicle Sync Data werden Fälle erstellt und synchronisiert. Außerdem werden die Änderungen an Anfragen und Benachrichtigungen synchronisiert, z. B. Prioritätsänderungen.
Mit dem Job Google Chronicle Alerts Creator werden alle Benachrichtigungen mit Ausnahme von SIEM-Benachrichtigungen generiert. Der Job Google Chronicle Sync Data (Google Chronicle-Synchronisierungsdaten) sendet Updates zu nicht synchronisierten Benachrichtigungen, nachdem der Job Google Chronicle Alerts Creator (Google Chronicle-Benachrichtigungen erstellen) die Benachrichtigungen erstellt hat.
Datensynchronisierung für Anfragen und Benachrichtigungen
Vorgänge werden auf dieselbe Weise synchronisiert wie beim Google Chronicle Sync Data-Job.
In Google SecOps SIEM wird jede Benachrichtigung mit einer SIEM-Benachrichtigungs-ID identifiziert. SOAR-Benachrichtigungen können in zwei Szenarien eine SIEM-Kennung übernehmen:
Die Benachrichtigung wird im SIEM generiert.
Dieser Alert ist bereits in Google SecOps SIEM vorhanden und muss nicht dupliziert werden. Der Connector füllt das Feld
siem_alert_idaus.Die Benachrichtigung wird in Drittanbieter-Connectors generiert.
Diese Benachrichtigung ist in Google SecOps SIEM nicht vorhanden und erfordert einen expliziten Synchronisierungsvorgang, für den der Job Google Chronicle Alerts Creator verantwortlich ist. Nach Abschluss der Synchronisierung erhält die Benachrichtigung eine neue SIEM-Kennung.
Google Chronicle Alerts Creator-Job konfigurieren
Führen Sie die erforderlichen Schritte aus, bevor Sie den Job konfigurieren.
So konfigurieren Sie den Job Google Chronicle Alerts Creator:
Konfigurieren Sie die Jobparameter anhand der folgenden Tabelle:
Parameter Beschreibung EnvironmentErforderlich.
Der Name der Umgebung, die in Google SecOps SOAR erstellt wurde und in der Sie Supportanfragen und Benachrichtigungen synchronisieren möchten.
API RootErforderlich.
Der API-Root der Google SecOps SIEM-Instanz.
Google SecOps bietet regionale Endpunkte für jede API.
Beispiel:
https://europe-backstory.googleapis.comoderhttps://asia-southeast1-backstory.googleapis.com.Wenn Sie nicht wissen, welchen Endpunkt Sie verwenden sollen, [wenden Sie sich an Cloud Customer Care](/chronicle/docs/getting-support).
Der Standardwert ist
https://backstory.googleapis.com.User's Service AccountErforderlich.
Der Inhalt der JSON-Datei des Dienstkontos Ihrer Google SecOps SIEM-Instanz.
Verify SSLErforderlich.
Wenn diese Option ausgewählt ist, prüft Google SecOps, ob das SSL-Zertifikat für die Verbindung zum Google SecOps SIEM-Server gültig ist. Wir empfehlen, diese Option auszuwählen.
Standardmäßig ausgewählt.
Klicken Sie auf Speichern, um die Konfiguration abzuschließen.
Wenn die Schaltfläche Speichern inaktiv ist, haben Sie möglicherweise nicht alle erforderlichen Parameter festgelegt.
Optional: Wenn Sie den Job sofort nach dem Speichern ausführen möchten, klicken Sie auf Jetzt ausführen.
Mit der Option Jetzt ausführen können Sie einen einzelnen Joblauf auslösen, bei dem die aktuellen Daten zu Benachrichtigungen und Fällen von Google SecOps SOAR mit Google SecOps SIEM synchronisiert werden.
Log-Meldungen und Fehlerbehandlung
| Log | Level | Beschreibung |
|---|---|---|
|
FEHLER | Das im Parameter „Dienstkonto des Nutzers“ angegebene Dienstkonto ist beschädigt. |
|
FEHLER | Die aktuelle Version der Google SecOps-Plattforminstanz unterstützt die Ausführung des Google Chronicle Alerts Creator Job-Skripts nicht. Dieser Fehler bedeutet, dass die Build-Version der Instanz älter als 6.2.30 ist. |
|
FEHLER | Die Dienstkonto- oder API-Stammwerte können nicht für die Google SecOps SIEM-Instanz validiert werden. Dieser Fehler wird gemeldet, wenn der Konnektivitätstest fehlschlägt. |
|
INFO | Logmeldung, die angibt, dass der Job gestartet wurde. |
|
INFO | Logmeldung, die angibt, dass die Hauptfunktion gestartet wurde. |
|
INFO | Protokollnachricht mit der Iterationsnummer für den aktuellen aufeinanderfolgenden Versuch. |
|
INFO | Protokollmeldung, die angibt, dass der Code nicht mehr als BATCH_SIZE neue Benachrichtigungen von SOAR abruft. |
|
INFO | Protokollmeldung, die angibt, dass NUMBER_OF_NEW_ALERTS SOAR-Benachrichtigungen abgerufen wurden. |
|
INFO | Protokollmeldung, die angibt, dass keine neuen SOAR-Benachrichtigungen gefunden wurden und der Job beendet wird. |
|
INFO | Log-Nachricht, die angibt, dass der Job die SOAR-Benachrichtigungen mit den folgenden Kennungen in der ID-Liste abgerufen hat. Anhand dieser Informationen können Sie den Fortschritt des Jobs verfolgen und Probleme mit dem Code beheben. |
|
INFO | Protokollmeldung, die angibt, dass der Job SOAR-Benachrichtigungen an SIEM sendet. |
|
FEHLER | Protokollmeldung, die angibt, dass die Benachrichtigung aufgrund eines Fehlers nicht erfolgreich in SIEM erstellt wurde. |
|
INFO | Protokollmeldung, die angibt, dass der Job SOAR mit der SIEM-Antwort aktualisiert. |
|
WARNUNG | Gibt an, dass SOAR den Status der Warnungsynchronisierung nicht aktualisieren konnte. |
|
INFO | Lognachricht, die angibt, dass im aktuellen Lauf insgesamt total_synced Benachrichtigungen synchronisiert wurden. |
|
INFO | Protokollmeldung, die angibt, dass der Job abgeschlossen ist. |
|
FEHLER | Logeintrag, der angibt, dass in der Hauptfunktion eine Ausnahme aufgetreten ist. Die Ausnahmenachricht ist in der Lognachricht enthalten. |
Anwendungsfälle
Die Google Chronicle-Integration ermöglicht die folgenden Anwendungsfälle:
- Chronicle Windows Threats Investigation and Response
- Security Command Center und Chronicle Cloud DIR
Anwendungsfall installieren
Rufen Sie im Google SecOps Marketplace den Tab Anwendungsfälle auf.
Geben Sie in ein Suchfeld den Namen des Anwendungsfalls ein.
Klicken Sie auf den Anwendungsfall.
Folgen Sie den Konfigurationsschritten und der Anleitung im Installationsassistenten.
Danach sind alle erforderlichen Komponenten auf Ihrem Google SecOps-Computer installiert. Um die Installation abzuschließen, konfigurieren Sie den Block Initialization im Playbook, das Ihrem Anwendungsfall entspricht.
Chronicle Windows Threats Investigation & Response
Mit Google SecOps können Sie in Echtzeit auf Windows-Bedrohungen in Ihrer Umgebung reagieren. Mit Threat Intelligence für Google SecOps können Sicherheitsteams einen hochgenauen Dienst für Bedrohungsinformationen in Verbindung mit Google SecOps nutzen. Reale Bedrohungen in Ihrer Umgebung können jetzt automatisch priorisiert und in kurzer Zeit behoben werden.
Klicken Sie in Google SecOps auf Reaktion > Playbooks.
Wählen Sie das Playbook Google Chronicle – Windows Threats Investigation & Response (Google Chronicle – Untersuchung und Reaktion auf Windows-Bedrohungen) aus. Das Playbook wird in der Playbook-Designeransicht geöffnet.
Doppelklicken Sie auf Set Initialization Block_1 (Initialisierungsblock 1 festlegen). Das Dialogfeld zur Blockkonfiguration wird geöffnet.
Verwenden Sie die folgenden Parameter, um das Playbook zu konfigurieren:
Eingabeparameter Mögliche Werte Beschreibung edr_product- CrowdStrike
- Carbon Black
- Keine
Das EDR-Produkt, das im Playbook verwendet werden soll. itsm_product- Service Now
- Jira
- Zendesk
- Keine
Das ITSM-Produkt, das im Playbook verwendet werden soll. Für Jira ist eine zusätzliche Konfiguration im Block „Ticket öffnen“ erforderlich. crowdstrike_use_spotlightTrueoderFalseWenn True, werden im Playbook Crowdstrike-Aktionen ausgeführt, für die eine Spotlight-Lizenz erforderlich ist (Informationen zu Sicherheitslücken).use_mandiantTrueoderFalseBei Truewird der Mandiant-Block im Playbook ausgeführt.slack_userNutzername oder E-Mail-Adresse Der Nutzername oder die E-Mail-Adresse des Slack-Nutzers. Wenn keine angegeben werden, werden Slack-Blöcke im Playbook übersprungen. Klicken Sie auf Speichern. Das Dialogfeld für die Blockkonfiguration wird geschlossen.
Klicken Sie im Bereich „Playbook Designer“ auf Speichern.
Um das Playbook im Anwendungsfall zu testen, nehmen Sie den im Paket enthaltenen Testlauf auf. Einige Testlauf-Funktionen können fehlschlagen, weil die für die Tests verwendeten Daten in Ihrer Umgebung nicht verfügbar sind.
Security Command Center und Chronicle Cloud DIR
Integrieren Sie Security Command Center in Google SecOps SIEM, damit Ihre Analysten Vorfälle und Bedrohungen untersuchen können, die von Security Command Center erkannt werden.
Anwendungsfall konfigurieren
Für den Anwendungsfall müssen Sie die folgenden Integrationen konfigurieren:
- Siemplify
- Tools
- Mitre ATT&CK
- Google Cloud IAM
- Google Chronicle
- Funktionen
- Google Cloud Compute
- Email V2
- VirusTotal v3
Die Integrationen von Google Security Command Center und Mandiant sind optional.
Installieren Sie den Anwendungsfall, bevor Sie ihn konfigurieren.
- Rufen Sie in Google SecOps den Tab Playbooks auf.
- Wählen Sie das Playbook SCC & Chronicle Cloud DIR aus.
- Doppelklicken Sie auf den Initialisierungsblock, um ihn zu konfigurieren.
- Konfigurieren Sie das Playbook mit den folgenden Parametern:
| Parametername | Mögliche Werte | Beschreibung |
|---|---|---|
Mandiant_Enrichment |
True oder False |
Wenn Die Mandiant-Integration muss für diese Einrichtung konfiguriert werden. Sie können die Anreicherung entfernen, wenn Sie selten aussagekräftige Informationen erhalten. Durch das Entfernen des Anreicherungsblocks wird die Ausführungsgeschwindigkeit des Playbooks verbessert. |
SCC_Enrichment |
True oder False |
Wenn Die Security Command Center-Integration muss für diese Einrichtung konfiguriert sein. Sie können die Anreicherung entfernen, wenn Sie selten aussagekräftige Informationen erhalten. Durch das Entfernen des Anreicherungsblocks wird die Ausführungsgeschwindigkeit des Playbooks verbessert. |
IAM_Enrichment |
True oder False |
Wenn True, werden die IAM-Funktionen im Playbook zur zusätzlichen Anreicherung verwendet. Sie können die Anreicherung entfernen, wenn Sie selten aussagekräftige Informationen erhalten. Durch das Entfernen des Anreicherungsblocks wird die Ausführungsgeschwindigkeit des Playbooks verbessert. |
Compute_Enrichment |
True oder False |
Bei True verwendet das Playbook Compute Engine-Funktionen für die zusätzliche Anreicherung. Sie können die Anreicherung entfernen, wenn Sie selten aussagekräftige Informationen erhalten. Durch das Entfernen des Anreicherungsblocks wird die Ausführungsgeschwindigkeit des Playbooks verbessert. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten