Integrar Google Chronicle con Google SecOps
Versión de integración: 69.0
En este documento se explica cómo integrar Google Chronicle con Google Security Operations (Google SecOps).
Casos prácticos
La integración de Google Chronicle puede abordar los siguientes casos prácticos:
Investigación y corrección automáticas de phishing: usa las funciones de SOAR de Google SecOps para consultar automáticamente datos históricos de correos, registros de actividad de usuarios e información sobre amenazas para evaluar la legitimidad de los correos. La corrección automatizada puede ayudarte con la clasificación y la contención, ya que evita la propagación de malware o las brechas de seguridad de datos.
Enriquecimiento de las alertas de seguridad: usa las funciones de SOAR de Google SecOps para enriquecer una alerta generada en un SIEM con contexto histórico, como el comportamiento anterior de los usuarios y la información de los activos. De esta forma, los analistas obtienen una visión completa de un incidente, lo que les permite tomar decisiones más rápidas y fundamentadas.
Búsqueda de amenazas basada en las estadísticas de Google SecOps: usa las funciones de SOAR de Google SecOps para automatizar el proceso de consultar otras herramientas de seguridad en busca de indicadores de compromiso (IOCs) relacionados. Esto puede ayudarte a identificar de forma proactiva posibles brechas antes de que se agraven.
Guías de respuesta a incidentes automatizadas: usa las funciones de SOAR de Google SecOps para activar guías predefinidas que utilicen datos de Google SecOps para aislar sistemas vulnerados, bloquear direcciones IP maliciosas y notificar a las partes interesadas pertinentes. De esta forma, se puede reducir el tiempo de respuesta a incidentes y minimizar el impacto de los incidentes de seguridad.
Informes y auditorías de cumplimiento: usa las funciones de SOAR de Google SecOps para automatizar la recogida de datos de seguridad de Google SecOps para generar informes de cumplimiento, agilizar el proceso de auditoría y reducir el trabajo manual.
Antes de empezar
Antes de configurar la integración de Google Chronicle en Google SecOps, asegúrate de tener acceso a unGoogle Cloud proyecto activo.
Migración de la API Backstory a la API Chronicle
Algunas funciones y acciones nuevas de esta integración solo admiten la API Chronicle, por lo que recomendamos encarecidamente a todos los usuarios que migren su implementación para usar las credenciales de la API Chronicle.
Buscar la raíz de la API Chronicle
Cuando accedas a la API de Chronicle, debes localizar el API Root único de tu entorno para configurar la integración.
Abre las herramientas para desarrolladores de tu navegador y ve a la plataforma Google SecOps.
Selecciona Investigación > Tablas de datos.
En Herramientas para desarrolladores, vaya a la pestaña Red y haga clic en un elemento de la columna Nombre, como
dataTables?pageSize=1000.En el panel de detalles, seleccione Encabezados y copie el valor de
Request URL, que se encuentra en General, sin incluir el endpoint ni ningún parámetro de consulta (el nombre del elemento seleccionado).Por ejemplo, si el valor es
https://us-chronicle.googleapis.com/v1alpha/projects/{project}/locations/{location}/instances/{instance}/dataTables?pageSize=1000, la raíz de la API excluye/dataTables?pageSize=1000y eshttps://us-chronicle.googleapis.com/v1alpha/projects/{project}/locations/{location}/instances/{instance}.
Requisitos de credenciales para la API Chronicle
Para acceder a la API de Chronicle, se necesitan una nueva raíz de API y nuevas credenciales, que dependen de cómo se gestione el proyecto subyacente de Google Cloud :
| Tipo de proyecto | Requisito de credenciales |
|---|---|
| Proyecto gestionado por Google (predeterminado) | Ponte en contacto con el equipo de Asistencia de Google para aprovisionar las credenciales ocultas necesarias y conceder permisos a tu entorno. |
| Utilizar tu propio proyecto (BYOP) | Debes configurar manualmente una cuenta de servicio específica en tu proyecto
con una
clave JSON o una
identidad de carga de trabajo y
asignar el rol Chronicle API Editor. |
Autenticación con una clave JSON de cuenta de servicio
La autenticación mediante una clave JSON de cuenta de servicio es compatible con la API de Chronicle y es obligatoria para los usuarios de BYOP que no elijan Workload Identity.
Crea una cuenta de servicio específica y genera tu clave JSON
Para autenticarte con una clave JSON de cuenta de servicio, sigue estos pasos para crear tu clave JSON:
En la Google Cloud consola, ve a IAM y administración > Cuentas de servicio.
Selecciona Crear cuenta de servicio y sigue las instrucciones.
Selecciona la dirección de correo de la nueva cuenta de servicio y ve a Claves > Añadir clave > Crear clave.
Selecciona
JSONcomo tipo de clave y haz clic en Crear. Se descargará un archivo de clave JSON en tu ordenador.
API de Chronicle: rol necesario para tu cuenta de servicio
Cuando se usa la API de Chronicle, la cuenta de servicio requiere el rol Chronicle API Editor.
En la Google Cloud consola, ve a APIs y servicios > Credenciales.
En Cuentas de servicio, selecciona tu cuenta de servicio y haz clic en Permisos > Gestionar acceso.
Haz clic en AñadirAñadir rol y selecciona el rol
Chronicle API Editor. Haz clic en Guardar.
Autenticación con Workload Identity (opción recomendada)
La autenticación mediante Workload Identity es el método recomendado y más seguro.
Para configurar la autenticación con una identidad de carga de trabajo, sigue estos pasos:
Crear una cuenta de servicio
Para crear una cuenta de servicio, sigue estos pasos:
En la Google Cloud consola, ve a la página Credenciales.
En el menú Crear credenciales, selecciona Cuenta de servicio.
En Detalles de la cuenta de servicio, escribe un nombre en el campo Nombre de cuenta de servicio.
Opcional: Edita el ID de la cuenta de servicio.
Haz clic en Crear y continuar. Aparecerá una pantalla de Permisos.
Haz clic en Continuar. Aparecerá la pantalla Principales con acceso.
Haz clic en Listo.
API de Chronicle: rol necesario para tu cuenta de servicio
Cuando se usa la API de Chronicle, la cuenta de servicio requiere el rol Chronicle API Editor.
En la Google Cloud consola, ve a APIs y servicios > Credenciales.
En Cuentas de servicio, selecciona tu cuenta de servicio y haz clic en Permisos > Gestionar acceso.
Haz clic en AñadirAñadir rol y selecciona el rol
Chronicle API Editor. Haz clic en Guardar.
Conceder permisos de suplantación de identidad a tu instancia de Google SecOps
Para usar Workload Identity, debes conceder a tu instancia de Google SecOps permiso para suplantar tu cuenta de servicio. Este es el último paso para que la instancia pueda acceder de forma segura a los recursos de Google Cloud .
En Google SecOps, vaya a Marketplace > Integraciones de respuesta.
Selecciona la integración que quieras configurar e introduce la dirección de correo de tu cuenta de servicio en el campo
Workload Identity Email.Introduce el correo que quieres que suplante la integración en el campo
Delegated Email.Haz clic en Guardar > Probar. Se espera que la prueba falle.
Haz clic en close_small a la derecha de Prueba y busca el mensaje de error
gke-init-python@YOUR_PROJECT. Copia este correo único, que identifica tu instancia de Google SecOps.Ve a Cuentas de servicio, selecciona tu proyecto y, a continuación, tu cuenta de servicio.
Selecciona Principales con acceso > AñadirConceder acceso.
En Añadir principales, pega el valor que has copiado.
En Añadir roles, selecciona el rol
Service Account Token Creator(roles/iam.serviceAccountTokenCreator).
Solucionar problemas de conectividad con la API Chronicle
Si tienes problemas para conectar tu integración a la API de Chronicle, sigue estos pasos para solucionar los problemas de configuración y de credenciales:
- Busca la raíz de la API Chronicle y asegúrate de que se haya introducido correctamente en la configuración de la integración.
- Asegúrate de que todos los demás parámetros de configuración obligatorios se hayan rellenado correctamente.
Prueba la conexión. Si la prueba se realiza correctamente, no tienes que hacer nada más. Si la prueba falla, ve al paso siguiente.
Verifica Google Cloud la propiedad del proyecto y las credenciales:
- Proyecto gestionado por Google: si tu proyecto Google Cloud está gestionado porGoogle (implementación predeterminada), ponte en contacto con el equipo de Asistencia de Google para obtener ayuda con los problemas de credenciales.
- Trae tu propio proyecto (BYOP): si tu proyecto de Google Cloud está autogestionado (BYOP), comprueba que has configurado manualmente una cuenta de servicio y le has asignado los roles adecuados.
Parámetros de integración
La integración de Google Chronicle requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
UI Root |
Obligatorio. La URL base de la interfaz de SIEM de Google SecOps. Se usa para generar automáticamente enlaces directos a la plataforma SIEM desde los registros de casos. El valor predeterminado es |
API Root |
Obligatorio. La raíz de la API de tu instancia de SIEM de Google SecOps. El valor depende del método de autenticación:
|
User's Service Account |
Opcional. El contenido completo del archivo de clave JSON de la cuenta de servicio. Si no se definen este parámetro y el parámetro Para usar la API de Chronicle, debes proporcionar este campo o |
Workload Identity Email |
Opcional. Dirección de correo del cliente de tu federación de identidades de cargas de trabajo. Este parámetro tiene prioridad sobre el archivo de claves Para usar la federación de identidades de carga de trabajo, debes asignar el rol |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor SIEM de SecOps de Google. Esta opción está habilitada de forma predeterminada. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Add Entry To Watchlist
Usa la acción Añadir entrada a lista de seguimiento para añadir una entidad específica a una lista de seguimiento de analíticas de riesgos de Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Añadir a lista de seguimiento requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Watchlist Name |
Obligatorio. Nombre de la lista de seguimiento de analíticas de riesgo a la que se añadirá la entrada. |
Entry |
Obligatorio. Objeto JSON que representa la entidad que se va a añadir a la lista de seguimiento. La estructura JSON requiere el valor de la entidad, el tipo de entidad y un espacio de nombres opcional. El valor predeterminado es:
[
{
"entity": "",
"type": "ASSET_IP_ADDRESS/MAC/HOSTNAME/PRODUCT_SPECIFIC_ID/USERNAME/EMAIL/EMPLOYEE_ID/WINDOWS_SID/PRODUCT_OBJECT_ID",
"namespace": "Optional"
}
]
|
Resultados de la acción
La acción Añadir entrada a Mi lista proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Add Entry To Watchlist (Añadir entrada a la lista de seguimiento):
[
{
"namespace": "Yuriy",
"asset": {
"hostname": "koko"
}
},
{
"namespace": "Yuriy",
"asset": {
"hostname": "koko"
}
}
]
Mensajes de salida
La acción Añadir entrada a lista de seguimiento puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Add Entry To Watchlist". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Añadir entrada a lista de seguimiento:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Añadir filas a una tabla de datos
Usa la acción Añadir filas a tabla de datos para añadir filas a una tabla de datos en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Para configurar la acción, usa los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Data Table Name |
Obligatorio. Nombre visible de la tabla de datos que se va a actualizar. |
Rows |
Obligatorio. Lista de objetos JSON que contiene información sobre las filas que se van a añadir. Por ejemplo:
[
{
"columnName1": "value1",
"columnName2": "value2",
},
{
"columnName1": "value1",
"columnName2": "value2",
}
]
|
Resultados de la acción
La acción Añadir filas a tabla de datos proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Información valiosa sobre la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra un resultado en JSON de ejemplo devuelto por la acción Añadir filas a tabla de datos:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
}
}
Mensajes de salida
La acción Añadir filas a tabla de datos proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully added rows to the data table
DATA_TABLE_NAME in
Google SecOps. |
La acción se ha realizado correctamente. |
Error executing action "Add Rows to Data Table". Reason:
ERROR_REASON |
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Añadir filas a tabla de datos:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Añadir valores a la lista de referencia
Usa la acción Añadir valores a la lista de referencia para añadir valores a una lista de referencia en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Para configurar la acción, usa los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Reference List Name |
Obligatorio. Nombre de la lista de referencias que se va a actualizar. |
Values |
Obligatorio. Lista de valores separados por comas que se van a añadir a la lista de referencias. |
Resultados de la acción
La acción Añadir valor a lista de referencia proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Información valiosa sobre la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON recibida al usar la acción Añadir valor a la lista de referencias con la API Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
En el siguiente ejemplo se describe el resultado JSON que se recibe al usar la acción Añadir valor a la lista de referencias con la API de Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_NAME",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Mensajes de salida
La acción Añadir valores a la lista de referencia proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully added values to the reference list
REFERENCE_LIST_NAME. |
La acción se ha realizado correctamente. |
Error executing action "Add Values To Reference List". Reason:
ERROR_REASON |
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Añadir valores a la lista de referencias:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Pregunta a Gemini
Usa la acción Pídeselo a Gemini para enviar una petición de texto a Gemini en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Para configurar la acción, usa los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Automatic Opt-in |
Opcional. Si se selecciona esta opción, el manual de procedimientos habilita automáticamente la conversación con Gemini sin necesidad de que el usuario lo confirme manualmente. Esta opción está habilitada de forma predeterminada. |
Prompt |
Obligatorio. La petición de texto o pregunta inicial que se envía a Gemini. |
Resultados de la acción
La acción Pídeselo a Gemini proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Información valiosa sobre la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Pregunta a Gemini:
{
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/users/me/conversations/db3b0fc2-94f8-42ae-b743-c3693f593269/messages/b58e3186-e697-4400-9da8-8ef252a20bd9",
"input": {
"body": "Is IP 159.138.84.217 malicious? What can you tell me about it?"
},
"responses": [
{
"blocks": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<p>The IP address 159.138.84.217 is associated with malware and threat actors.</p>\n<ul>\n<li>It is an IPv4 indicator.</li>\n<li>It is associated with BEACON malware.</li>\n<li>It is categorized as malware-Backdoor.</li>\n<li>It has a low confidence, high severity threat rating.</li>\n<li>VirusTotal's IP Address Report indicates the network for this IP is 159.138.80.0/20, and the IP is associated with HUAWEI CLOUDS in Singapore.</li>\n<li>VirusTotal's last analysis on April 22, 2025, showed 8 malicious detections out of 94 sources.</li>\n</ul>\n<p>I might have more details for a question with more context (e.g., what is the source of the IP, what type of network traffic is associated with the IP).</p>\n"
}
}
],
"references": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<ol>\n<li><a href=\"https://advantage.mandiant.com/indicator/ipv4/159.138.84.217\" target=\"_blank\">Mandiant - indicator - 159.138.84.217</a></li>\n</ol>\n"
}
}
],
"groundings": [
"IP address 159.138.84.217 malicious cybersecurity",
"IP address 159.138.84.217 threat intelligence"
]
}
],
"createTime": "2025-05-16T11:31:36.660538Z"
}
}
Mensajes de salida
La acción Pídeselo a Gemini proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully executed a prompt in Google SecOps. |
La acción se ha realizado correctamente. |
Error executing action "GoogleChronicle - Ask Gemini".
Reason: ERROR_REASON |
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Pregunta a Gemini:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Enrich Domain (obsoleto)
Usa la acción Enriquecer dominio para enriquecer dominios con información de indicadores de compromiso en Google SecOps SIEM.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
URLHostname
Entradas de acciones
La acción Enrich Domain requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Create Insight |
Si se selecciona esta opción, la acción creará una estadística que contenga información sobre las entidades. Esta opción está habilitada de forma predeterminada. |
Only Suspicious Insight |
Si se selecciona esta opción, la acción solo creará una estadística para las entidades que estén marcadas como sospechosas. No está habilitada de forma predeterminada. Si selecciona este parámetro, también debe seleccionar
|
Lowest Suspicious Severity |
Obligatorio. La gravedad más baja asociada al dominio necesaria para marcarlo como sospechoso. El valor predeterminado es
|
Mark Suspicious N/A Severity |
Obligatorio. Si se selecciona esta opción y no se dispone de información sobre la gravedad, la acción marca la entidad como sospechosa. |
Resultados de la acción
La acción Enriquecer dominio proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | Disponible |
| Información valiosa sobre la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
La acción Enrich Domain (Enriquecer dominio) proporciona la siguiente tabla:
Nombre: ENTITY_IDENTIFIER
Columnas:
- Origen
- Gravedad
- Categoría
- Confianza
Enriquecimiento de entidades
La acción Enriquecer dominio admite la siguiente lógica de enriquecimiento de entidades:
| Campo de enriquecimiento | Lógica (cuándo se aplica) |
|---|---|
severity |
Cuando esté disponible en JSON |
average_confidence |
Cuando esté disponible en JSON |
related_domains |
Cuando esté disponible en JSON |
categories |
Cuando esté disponible en JSON |
sources |
Cuando esté disponible en JSON |
first_seen |
Cuando esté disponible en JSON |
last_seen |
Cuando esté disponible en JSON |
report_link |
Cuando esté disponible en JSON |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON recibida al usar la acción Enrich Domain (Enriquecer dominio) con la API Backstory:
{
{
"sources": [
{
"source": "ET Intelligence Rep List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
En el siguiente ejemplo se describe el resultado JSON que se recibe al usar la acción Enrich Domain (Enriquecer dominio) con la API de Chronicle:
[
{
"Entity": "example.com",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
},
{
"category": "Phishing",
"firstActiveTime": null,
"lastActiveTime": "2020-11-27T14:31:37Z",
"addresses": [
{
"domain": "example.com"
},
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "high",
"confidenceScore": {
"strRawConfidenceScore": "high"
}
},
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
},
{
"metadata": {
"title": "ESET Threat Intelligence",
"description": "ESET Threat Intelligence"
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Phishing",
"activeTimerange": {
"end": "2020-11-27T14:31:37Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "High",
"rawSeverity": "High"
}
]
},
{
"metadata": {
"title": "Mandiant Active Breach Intelligence",
"description": "Mandiant Active Breach IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
}
]
}
}
]
Mensajes de salida
La acción Enrich Domain (Enriquecer dominio) proporciona los siguientes mensajes:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully enriched the following domain in Google Chronicle:
LIST_OF_IDS |
La acción se ha realizado correctamente. |
Error executing action "Enrich Domain". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Enriquecer dominio:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Enriquecer entidades
Usa la acción Enriquecer entidades para consultar Google SecOps y obtener contexto y atributos adicionales de los tipos de entidades especificados. Esta acción mejora los datos de investigación de amenazas al integrar inteligencia externa.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressURL(extrae el dominio de la URL)UserEmail(entidad de usuario con expresión regular de correo electrónico)
Entradas de acciones
La acción Enrich Entities requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Namespace |
Opcional. La agrupación lógica o el ámbito de las entidades que se van a enriquecer. Si no se selecciona, el enriquecimiento se aplica a las entidades del espacio de nombres predeterminado o a todos los espacios de nombres accesibles. Las entidades deben pertenecer a este espacio de nombres para poder procesarse. |
Time Frame |
Opcional. Un periodo relativo (por ejemplo, Este parámetro tiene prioridad sobre |
Start Time |
Opcional. Hora de inicio del periodo de enriquecimiento en formato ISO 8601. Úsalo con |
End Time |
Opcional. Hora de finalización absoluta del periodo de enriquecimiento en formato ISO 8601. Se usa con |
Resultados de la acción
La acción Enriquecer entidades proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
GoogleSecOps_related_entities |
El número de related_entities | Cuando esté disponible en el resultado JSON. |
GoogleSecOps_alert_count_ruleName |
{alertCounts.count} para cada regla específica | Cuando esté disponible en el resultado JSON. |
GoogleSecOps_first_seen |
metric.firstSeen |
Cuando esté disponible en el resultado JSON. |
GoogleSecOps_last_seen |
metric.lastSeen |
Cuando esté disponible en el resultado JSON. |
GoogleSecOps_flattened_key_under_entity |
Valor de la clave, acoplado de la estructura anidada del objeto "entity". |
Cuando esté disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción Enrich Entities (Enriquecer entidades):
[
{
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"domain": {
"name": "markossolomon.com",
"firstSeenTime": "1970-01-01T00:00:00Z",
"lastSeenTime": "1970-01-01T00:00:00Z",
"registrar": "NameCheap, Inc.",
"creationTime": "2013-12-06T02:41:09Z",
"updateTime": "2019-11-06T11:48:33Z",
"expirationTime": "2020-12-06T02:41:09Z",
"registrant": {
"userDisplayName": "WhoisGuard Protected",
"emailAddresses": [
"58d09cb5035042e9920408f8bafd0869.protect@whoisguard.com"
],
"personalAddress": { "countryOrRegion": "PANAMA" },
"companyName": "WhoisGuard, Inc."
}
}
}
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "npatni-sysops",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "npatni-sysops" }
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "329" },
{ "rule": "rule_testbucket", "count": "339" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "332" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 1000 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "exlab2019-ad",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "exlab2019-ad" }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.30.202.229",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "ip": ["172.30.202.229"] }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.17.0.1",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": { "namespace": "Yuriy", "asset": { "ip": ["172.17.0.1"] } },
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
}
},
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "911d039e71583a07320b32bde22f8e22",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"file": {
"sha256": "bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527",
"md5": "911d039e71583a07320b32bde22f8e22",
"sha1": "ded8fd7f36417f66eb6ada10e0c0d7c0022986e9",
"size": "278528",
"fileType": "FILE_TYPE_PE_EXE",
"names": [
"C:\\Windows\\System32\\cmd.exe",
"cmd",
"Cmd.Exe",
"C:\\Windows\\system32\\cmd.exe",
"C:\\Windows\\SYSTEM32\\cmd.exe",
"cmd.exe",
"C:\\\\Windows\\\\System32\\\\cmd.exe",
"C:\\windows\\SYSTEM32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\wjxpour4.d0f\\cmd.exe",
"c:\\Windows\\System32\\cmd.exe",
"Utilman.exe",
"c:\\windows\\system32\\cmd.exe",
"System32/cmd.exe",
"UtilityVM/Files/Windows/System32/cmd.exe",
"KerishDoctor/Data/KerishDoctor/Restore/cmd.rst",
"cmd.exe_",
"C:\\WINDOWS\\SYSTEM32\\cmd.exe",
"Cmd.exe",
"Windows/System32/cmd.exe",
"sethc.exe",
"C:\\WINDOWS\\System32\\cmd.exe",
"esRzqurX.exe",
"rofl.png",
"F:\\Windows\\SYSTEM32\\cmd.exe",
"utilman.exe",
"C:\\Windows\\system32\\CMD.exe",
"sys32exe/cmd.exe",
"cmd.txt",
"C:\\WINDOWS\\system32\\cmd.exe",
"cmd2.exe",
"Utilman.exe.sc",
"uhrHRIv8.exe",
"C:\\windows\\system32\\cmd.exe",
"submitted_file",
"C:\\Users\\user\\AppData\\Local\\Temp\\n1qo0bq3.2tn\\KerishDoctor\\Data\\KerishDoctor\\Restore\\cmd.rst",
"J6ff7z0hLYo.exe",
"N:\\Windows\\System32\\cmd.exe",
"Q:\\Windows\\System32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\cmd.exe",
"C:\\Users\\<USER>\\AppData\\Local\\Temp\\cmd.exe",
"test.exe",
"68E2F01F8DE9EFCAE9C0DD893DF0E8C34E2B5C98A6C4073C9C9E8093743D318600.blob",
"8FCVE0Kq.exe",
"cmd (7).exe",
"cmd (8).exe",
"21455_16499564_bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527_cmd.exe",
"LinX v0.9.11 (Intel)/cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\inbvmkaa.1xd\\LinX v0.9.11 (Intel)\\cmd.exe",
"cmd_b.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\sfd5bhoe.nqi\\cmd.exe",
"cMd.exe",
"Repl_Check.bat__",
"cmd.pdf",
"cmd.EXE",
"C:\\Users\\user\\AppData\\Local\\Temp\\uszjr42t.kda\\cmd.exe",
"LFepc1St.exe",
"firefox.exe",
"3BcnNlWV.exe",
"Utilman.exebak",
"utilman1.exe",
"1.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\ispvscgp.ep2\\sys32exe\\cmd.exe",
"cmd_1771019736291028992.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\xijgwqvd.54g\\cmd.exe",
"Sethc.exe",
"\\Device\\CdRom1\\DANFE352023067616112\\DANFE352023067616112.EXE",
"DANFE352023067616112.exe",
"file.exe",
"DANFE352023067616112/DANFE352023067616112.exe",
"C:\\Windows\\SYSTEM32\\Cmd.exe",
"pippo.exe",
"C:\\Windows\\System32\\sethc.exe",
"cmd.exe-bws024-windowsfolder",
"whatever.exe",
"sethc.exe.bak",
"S71dbOR1.exe",
"F:\\windows\\SYSTEM32\\cmd.exe",
"L6puhWL7.exe",
"DANFE357986551413927.exe",
"DANFE357666506667634.exe",
"\\Device\\CdRom1\\DANFE357666506667634\\DANFE357666506667634.EXE",
"\\Device\\CdRom1\\DANFE357986551413927\\DANFE357986551413927.EXE",
"\\Device\\CdRom1\\DANFE358567378531506\\DANFE358567378531506.EXE",
"\\Device\\CdRom1\\HtmlFactura3f48daa069f0e42253194ca7b51e7481DPCYKJ4Ojk\\HTMLFACTURA3F48DAA069F0E42253194CA7B51E7481DPCYKJ4OJK.EXE",
"\\Device\\CdRom1\\DANFE357410790837014\\DANFE357410790837014.EXE",
"\\Device\\CdRom1\\DANFE357702036539112\\DANFE357702036539112.EXE",
"winlogon.exe",
"AccessibilityEscalation.A' in file 'utilman.exe'",
"qpl9AqT0.exe",
"C:\\windows\\system32\\CMD.exe",
"C:\\po8az\\2po9hmc\\4v1b5.exe",
"batya.exe",
"nqAwJaba.exe",
"\\Device\\CdRom1\\DANFE356907191810758\\DANFE356907191810758.EXE",
"/Volumes/10_11_2023/DANFE356907191810758/DANFE356907191810758.exe",
"/Volumes/09_21_2023/DANFE357986551413927/DANFE357986551413927.exe",
"\\Device\\CdRom1\\DANFE355460800350113\\DANFE355460800350113.EXE",
"/Volumes/09_19_2023/DANFE355460800350113/DANFE355460800350113.exe",
"DANFE352429512050669.exe",
"/Volumes/04_15_2023/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3.exe"
],
"firstSeenTime": "2024-12-15T09:07:02Z",
"lastSeenTime": "2025-07-18T07:43:59.045Z",
"lastAnalysisTime": "2025-07-16T10:06:40Z",
"signatureInfo": {
"sigcheck": {
"verificationMessage": "Signed",
"verified": true,
"signers": [{ "name": "Microsoft Windows" }]
}
},
"firstSubmissionTime": "2025-07-15T16:30:27Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "329" },
{ "rule": "rule_testbucket", "count": "345" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "326" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{ "alertCount": 31 },
{ "alertCount": 111 },
{ "alertCount": 109 },
{ "alertCount": 82 },
{ "alertCount": 86 },
{ "alertCount": 98 },
{ "alertCount": 86 },
{ "alertCount": 85 },
{ "alertCount": 92 },
{ "alertCount": 89 },
{ "alertCount": 90 },
{ "alertCount": 41 }
],
"bucketSize": "172800s"
},
"prevalenceResult": [
{ "prevalenceTime": "2025-01-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-16T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-17T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-18T00:00:00Z", "count": 2 }
],
"relatedEntities": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiFQoGCPbso7wGEgsIv_bnwwYQwMq6FQ",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"hostname": "exlab2019-ad",
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIVCgYI9uyjvAYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"ip": ["172.30.202.229"],
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
}
]
}
},
{
"Entity": "tencent.com",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"domain": {
"name": "tencent.com",
"firstSeenTime": "2025-01-14T14:01:00Z",
"lastSeenTime": "2025-01-14T15:02:00Z",
"registrar": "MarkMonitor Information Technology (Shanghai) Co., Ltd.",
"creationTime": "1998-09-14T04:00:00Z",
"updateTime": "2024-08-20T08:04:01Z",
"expirationTime": "2032-09-13T04:00:00Z",
"registrant": {
"emailAddresses": [""],
"personalAddress": { "countryOrRegion": "CHINA" },
"companyName": "\u6df1\u5733\u5e02\u817e\u8baf\u8ba1\u7b97\u673a\u7cfb\u7edf\u6709\u9650\u516c\u53f8"
}
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "00:50:56:b6:34:86",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "mac": ["00:50:56:b6:34:86"] }
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
}
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
}
]
Mensajes de salida
La acción Enrich Entities puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enriquecer entidades:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Enriquecer IP (obsoleto)
Usa la acción Enriquecer IP para enriquecer entidades de IP con información de indicadores de compromiso de Google SecOps SIEM.
Esta acción se ejecuta en la entidad `IP Address`.
Entradas de acciones
La acción Enriquecer IP requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Create Insight |
Opcional. Si se selecciona esta opción, la acción crea una estadística que contiene información sobre las entidades.Esta opción está habilitada de forma predeterminada. |
Only Suspicious Insight |
Opcional. Si se selecciona esta opción, la acción solo crea estadísticas de las entidades que se hayan marcado como sospechosas.No está habilitada de forma predeterminada. Si selecciona este parámetro, también debe seleccionar |
Lowest Suspicious Severity |
Obligatorio. La gravedad más baja asociada a la dirección IP para marcarla como sospechosa. El valor predeterminado es
|
Mark Suspicious N/A Severity |
Obligatorio. Si se selecciona esta opción y no se dispone de información sobre la gravedad, la acción marca la entidad como sospechosa. |
Resultados de la acción
La acción Enriquecer IP proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
Nombre: ENTITY_IDENTIFIER
Columnas:
- Origen
- Gravedad
- Categoría
- Confianza
- Dominios relacionados
Enriquecimiento de entidades
La acción Enriquecer IP admite la siguiente lógica de enriquecimiento de entidades:
| Campo de enriquecimiento | Lógica (cuándo se aplica) |
|---|---|
severity |
Cuando esté disponible en JSON |
average_confidence |
Cuando esté disponible en JSON |
related_domains |
Cuando esté disponible en JSON |
categories |
Cuando esté disponible en JSON |
sources |
Cuando esté disponible en JSON |
first_seen |
Cuando esté disponible en JSON |
last_seen |
Cuando esté disponible en JSON |
report_link |
Cuando esté disponible en JSON |
Resultado de JSON
En el siguiente ejemplo se describe el resultado en JSON que se recibe al usar la acción Enrich IP con la API Backstory:
{
{
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
En el siguiente ejemplo se describe el resultado JSON que se recibe al usar la acción Enrich IP con la API de Chronicle:
[
{
"Entity": "192.0.2.121",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "low",
"confidenceScore": {
"strRawConfidenceScore": "67"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "67",
"rawSeverity": "Low"
}
]
}
]
}
}
]
Mensajes de salida
La acción Enriquecer IP proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully enriched the following IPs from Google Chronicle:
LIST_OF_IPS |
La acción se ha realizado correctamente. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Enriquecer IP:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Ejecutar RetroHunt
Usa la acción Ejecutar RetroHunt para ejecutar una RetroHunt de una regla en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Ejecutar búsqueda retrospectiva requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Rule ID |
Obligatorio. ID de la regla para la que se va a ejecutar una RetroHunt. Usa el formato |
Time Frame |
Opcional. Periodo del que se van a obtener los resultados. Estos son los valores posibles:
Si se selecciona El valor predeterminado es |
Start Time |
Hora de inicio de los resultados en formato ISO 8601. Este parámetro es obligatorio si el parámetro |
End Time |
Hora de finalización de los resultados en formato ISO 8601.
Si no asignas ningún valor y seleccionas el valor |
Resultados de la acción
La acción Ejecutar búsqueda retroactiva proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Información valiosa sobre la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Ejecutar Retrohunt con la API Backstory:
{
"retrohuntId": "oh_d738c8ea-8fd7-4cc1-b43d-25835b8e1785",
"ruleId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497",
"versionId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497@v_1612472807_179679000",
"eventStartTime": "2021-01-14T23:00:00Z",
"eventEndTime": "2021-01-30T23:00:00Z",
"retrohuntStartTime": "2021-02-08T02:40:59.192113Z",
"state": "RUNNING"
}
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Ejecutar búsqueda retrospectiva con la API de Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/RetrohuntMetadata",
"retrohunt": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID/retrohunts/RETROHUNT_ID",
"executionInterval": {
"startTime": "2025-01-22T12:16:20.963182Z",
"endTime": "2025-01-23T12:16:20.963182Z"
}
},
"retrohuntId": "RETROHUNT_ID",
"ruleId": "RULE_ID",
"versionId": "VERSION_ID",
"eventStartTime": "2025-01-22T12:16:20.963182Z",
"eventEndTime": "2025-01-23T12:16:20.963182Z"
}
Mensajes de salida
La acción Ejecutar búsqueda retrospectiva proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully executed a retrohunt for the provided rule in Google
Chronicle.
|
La acción se ha realizado correctamente. |
Error executing action "Execute Retrohunt". Reason:
ERROR_REASON |
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Ejecutar búsqueda retrospectiva:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Ejecutar consulta de UDM
Usa la acción Ejecutar consulta de UDM para ejecutar una consulta de UDM personalizada en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Ejecutar consulta de UDM requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query |
Obligatorio. Consulta que se va a ejecutar en Google SecOps. |
Include Raw Log Data |
Opcional. Si se selecciona esta opción, la acción recupera el archivo de registro sin procesar original asociado a los resultados de búsqueda de UDM. Esta opción solo está disponible cuando se usa la autenticación de la API de Chronicle. Esta opción está inhabilitada de forma predeterminada. |
Time Frame |
Opcional. Periodo del que se van a obtener los resultados. Estos son los valores posibles:
Si se selecciona El valor predeterminado es |
Start Time |
Opcional. Hora de inicio de los resultados en formato ISO 8601 (por ejemplo, Este parámetro es obligatorio si el parámetro El periodo máximo es de 90 días. |
End Time |
Opcional. La hora de finalización de los resultados en formato ISO 8601 (por ejemplo, Si no defines ningún valor y el parámetro El periodo máximo es de 90 días. |
Max Results To Return |
Opcional. Número de resultados que se devolverán en una única consulta. El valor máximo es El valor predeterminado es |
Resultados de la acción
La acción Ejecutar consulta de UDM proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Ejecutar consulta de UDM:
{
"events":[
"event":{
"metadata":{
"eventTimestamp":"2022-01-20T09:15:15.687Z",
"eventType":"USER_LOGIN",
"vendorName":"Example Vendor",
"productName":"Example Product",
"ingestedTimestamp":"2022-01-20T09:45:07.433587Z"
},
"principal":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.0"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
],
"location":{
"city":"San Francisco",
"state":"California",
"countryOrRegion":"US"
},
"asset":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.1",
"203.0.113.1",
"203.0.113.1"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
]
}
},
"target":{
"user":{
"userid":"Example",
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-4712406912-7108061610-2717800068-993683",
"emailAddresses":[
"example@example.com",
"admin.example@example.com"
],
"employeeId":"2406187",
"productObjectId":"f93f1540-4935-4266-aa8e-a750a319aa1c",
"firstName":"Example",
"lastName":"User",
"phoneNumbers":[
"555-01-75"
],
"title":"Executive Assistant",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
],
"managers":[
{
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-6051382818-4135626959-8120238335-834071",
"emailAddresses":[
"user@example.com"
],
"employeeId":"5478500",
"productObjectId":"8b3924d5-6157-43b3-857b-78aa6bd94705",
"firstName":"User",
"lastName":"Example",
"phoneNumbers":[
"555-01-75"
],
"title":"Chief Technology Officer",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
]
}
]
},
"ip":[
"198.51.100.1"
],
"email":"email@example.com",
"application":"Example Sign In"
},
"securityResult":[
{
"summary":"Successful Login",
"action":[
"ALLOW"
]
}
],
"extensions":{
"auth":{
"type":"SSO"
}
}
},
"eventLogToken":"96f23eb9ffaa9f7e7b0e2ff5a0d2e34c,1,1642670115687000,USER,|USER_LOGIN"
]
}
Mensajes de salida
La acción Ejecutar consulta de UDM proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Execute UDM Query". Reason:
ERROR_REASON
|
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Execute UDM Query". Reason: you've reached a
rate limit. Please wait for several minutes and try again. |
No se ha podido realizar la acción. Espera varios minutos antes de volver a ejecutar la acción. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Ejecutar consulta de UDM:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Generar consulta de UDM
(Vista previa) Usa la acción Generar consulta UDM para crear consultas UDM complejas con peticiones en lenguaje natural en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Generar consulta de UDM requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Prompt |
Obligatorio. La petición que usa el sistema para generar la consulta de UDM estructurada. |
Resultados de la acción
La acción Obtener tablas de datos proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Generar consulta de UDM:
{
"query": "ip = \"10.0.0.1\""
}
Mensajes de salida
La acción Generar consulta de UDM proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully generated a UDM query in Google SecOps. |
La acción se ha realizado correctamente. |
Error executing action "Generate UDM Query". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Generar consulta de UDM:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Obtener tablas de datos
Usa la acción Obtener tablas de datos para recuperar las tablas de datos disponibles en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Obtener tablas de datos requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Filter Key |
Opcional. La clave por la que filtrar La opción Estos son los valores posibles: NameDescription |
Filter Logic |
Opcional. La lógica de filtro que se va a aplicar. Estos son los valores posibles: Equal (para concordancias exactas)Contains(para coincidencias de cadena secundaria) |
Filter Value |
Opcional. El valor que se debe usar en el filtro. Estos son los valores posibles: Equal (para concordancias exactas)Contains(para coincidencias de cadena secundaria)
Si no se proporciona nada, el filtro no se aplicará. |
Expanded Rows |
Opcional. Si se selecciona esta opción, la respuesta incluye filas de tabla de datos detalladas. No está habilitada de forma predeterminada. |
Max Data Tables To Return |
Obligatorio. Número de tablas de datos que se van a devolver. El valor máximo es |
Max Data Table Rows To Return |
Obligatorio. Cantidad de filas de la tabla de datos que se van a devolver. Solo debe usar este parámetro si El valor máximo es |
Resultados de la acción
La acción Obtener tablas de datos proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado en JSON que se recibe al usar la acción Get Data Tables (Obtener tablas de datos):
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table",
"displayName": "data_table",
"createTime": "2025-05-14T12:52:50.064133Z",
"updateTime": "2025-05-14T13:13:48.631442Z",
"columnInfo": [
{
"originalColumn": "columnName1",
"columnType": "STRING"
},
{
"columnIndex": 1,
"originalColumn": "columnName2",
"columnType": "STRING"
},
{
"columnIndex": 2,
"originalColumn": "columnName3",
"columnType": "STRING"
}
],
"dataTableUuid": "c3cce57bb8d940d5ac4523c37d540436",
"approximateRowCount": "2",
"rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
Mensajes de salida
La acción Obtener tablas de datos proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully found data tables for the provided criteria in Google
SecOps |
La acción se ha realizado correctamente. |
Error executing action "Get Data Tables". Reason:
ERROR_REASON |
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Obtener tablas de datos:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Get Detection Details
Usa la acción Get Detection Details (Obtener detalles de detección) para recuperar información sobre una detección en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Obtener detalles de la detección requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Rule ID |
Obligatorio. ID de la regla relacionada con la detección. Usa el formato |
Detection ID |
Obligatorio. ID de la detección de la que se van a obtener los detalles. Si se proporcionan caracteres especiales, la acción no falla, pero devuelve una lista de detecciones. |
Include Raw Log Data |
Opcional. Si se selecciona esta opción, la acción recupera el archivo de registro sin procesar original asociado a los resultados de búsqueda de UDM. Esta opción solo está disponible cuando se usa la autenticación de la API de Chronicle. Esta opción está inhabilitada de forma predeterminada. |
Resultados de la acción
La acción Obtener detalles de detección proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe el resultado en JSON que se obtiene al usar la acción Get Detection Details (Obtener detalles de detección):
{
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "singleEventRule2",
"urlBackToProduct":
"https://INSTANCE/ruleDetections?
ruleId=ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d&selectedList=RuleDetectionsViewTimeline&
selectedParentDetectionId=de_ce594791-09ed-9681-27fa-3b7c8fa6054c&
selectedTimestamp=2020-12-03T16: 50: 47.647245Z","ruleId": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d",
"ruleVersion": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d@v_1605892822_687503000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT"
}
],
"createdTime": "2020-12-03T19:19:21.325134Z",
"id": "de_ce594791-09ed-9681-27fa-3b7c8fa6054c",
"timeWindow": {
"startTime": "2020-12-03T16:50:47.647245Z",
"endTime": "2020-12-03T16:50:47.647245Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2020-12-03T16:50:47.647245Z",
"collectedTimestamp": "2020-12-03T16:50:47.666064010Z",
"eventType": "NETWORK_DNS",
"productName": "ProductName",
"ingestedTimestamp": "2020-12-03T16:50:49.494542Z"
},
"principal": {
"ip": [
"192.0.2.1"
]
},
"target": {
"ip": [
"203.0.113.1"
]
},
"securityResult": [
{
"action": [
"UNKNOWN_ACTION"
]
}
],
"network": {
"applicationProtocol": "DNS",
"dns": {
"questions": [
{
"name": "example.com",
"type": 1,
"class": 1
}
],
"id": 12345,
"recursionDesired": true
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2020-12-03T16:50:47.647245Z"
}
Mensajes de salida
La acción Obtener detalles de la detección proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully fetched information about the detection with ID
DETECTION_ID in Google Chronicle. |
La acción se ha realizado correctamente. |
Error executing action "Get Detection Details". Reason:
ERROR_REASON |
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Obtener detalles de detección:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener listas de referencias
Usa la acción Get Reference Lists para recuperar las listas de referencias disponibles en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get Reference Lists requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Filter Key |
La clave por la que se va a filtrar.
Estos son los valores posibles:
|
Filter Logic |
La lógica de filtro que se va a aplicar. Estos son los valores posibles: Equal (para concordancias exactas)Contains(para coincidencias de cadena secundaria)El valor predeterminado es |
Filter Value |
El valor que se debe usar en el filtro.
Estos son los valores posibles: Equal (para concordancias exactas)Contains(para coincidencias de cadena secundaria)
Si no se proporciona ningún valor, el filtro no se aplica. |
Expanded Details |
Si se selecciona esta opción, la acción devuelve información detallada sobre las listas de referencias.
No está habilitada de forma predeterminada. |
Max Reference Lists To Return |
Número de listas de referencias que se devolverán.
El valor predeterminado es |
Resultados de la acción
La acción Obtener lista de referencias proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
En un muro de casos, la opción Obtener listas de referencias ofrece la siguiente tabla:
Nombre: Listas de referencias disponibles
Columnas:
- Nombre
- Descripción
- Tipo
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción Get Reference Lists (Obtener listas de referencia) con la API Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
En el siguiente ejemplo se describe la salida de resultados JSON recibida al usar la acción Get Reference Lists (Obtener listas de referencia) con la API de Chronicle:
[
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_ID",
"displayName": "REFERENCE_LIST_ID",
"revisionCreateTime": "2025-01-09T15:53:10.851775Z",
"description": "Test reference list",
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-09T15:53:10.851775Z"
}
]
Mensajes de salida
La acción Obtener listas de referencia proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action
ACTION_NAME. Reason:
ERROR_REASON
|
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action
ACTION_NAME. Reason: "Invalid
value was provided for "Max Reference Lists to Return":
PROVIIDED_VALUE. Positive number should be provided. |
No se ha podido realizar la acción.
Compruebe el valor del parámetro |
Secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Obtener listas de referencias:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener detalles de la regla
Usa la acción Get Rule Details (Obtener detalles de la regla) para consultar información sobre una regla en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Get Rule Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Rule ID |
Obligatorio. ID único de la regla de la que se van a obtener los detalles. El valor predeterminado es |
Resultados de la acción
La acción Obtener detalles de la regla proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe el resultado JSON que se recibe al usar la acción Get Rule Details (Obtener detalles de la regla) con la API Backstory:
{
"ruleId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f",
"versionId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f@v_1602631093_146879000",
"ruleName": "SampleRule",
"metadata": {
"description": "Sample Description of the Rule",
"author": "author@example.com"
},
"ruleText": "rule SampleRule {
meta:
description = \"Sample Description of the Rule\"
author = \"author@example.com\"
events:
// This will just generate lots of detections
$event.metadata.event_type = \"NETWORK_HTTP\"
condition:
$event
} ",
"liveRuleEnabled": true,
"versionCreateTime": "2020-10-13T23:18:13.146879Z",
"compilationState": "SUCCEEDED"
}
En el siguiente ejemplo se describe el resultado JSON que se obtiene al usar la acción Get Rule Details (Obtener detalles de la regla) con la API de Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID",
"revisionId": "v_1733917896_973567000",
"displayName": "Test_rule_SingleEvent",
"text": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"author": "example_user",
"metadata": {
"author": "example_user",
"description": "windowed single event example rule",
"severity": null
},
"createTime": "2024-12-11T11:36:18.192127Z",
"revisionCreateTime": "2024-12-11T11:51:36.973567Z",
"compilationState": "SUCCEEDED",
"type": "SINGLE_EVENT",
"allowedRunFrequencies": [
"LIVE",
"HOURLY",
"DAILY"
],
"etag": "CMj55boGEJjondAD",
"ruleId": "RULE_ID",
"versionId": "RULE_ID@v_1733917896_973567000",
"ruleName": "Test_rule_SingleEvent",
"ruleText": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"ruleType": "SINGLE_EVENT",
"versionCreateTime": "2024-12-11T11:51:36.973567Z"
}
Mensajes de salida
La acción Obtener detalles de la regla proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully fetched information about the rule with ID
RULE_ID in Google Chronicle.
|
La acción se ha realizado correctamente. |
Error executing action "Get Rule Details". Reason:
ERROR_REASON
|
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Obtener detalles de la regla:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
¿El valor está en la tabla de datos?
Usa ¿El valor está en la tabla de datos? para comprobar si los valores proporcionados están en una tabla de datos de Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción ¿El valor está en la tabla de datos? requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Data Table Name |
Obligatorio. El nombre visible de la tabla de datos que se va a buscar. |
Column |
Opcional. Lista de columnas separadas por comas en las que se buscará. Si no se proporciona ningún valor, la acción buscará en todas las columnas. |
Values |
Obligatorio. Lista de valores separados por comas que se van a buscar. |
Case Insensitive Search |
Opcional. Si se selecciona, la búsqueda no distingue entre mayúsculas y minúsculas. Esta opción está habilitada de forma predeterminada. |
Max Data Table Rows To Return |
Obligatorio. Número de filas de la tabla de datos que se deben devolver por cada valor coincidente. El valor máximo es |
Resultados de la acción
La acción ¿El valor está en la tabla de datos? proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe el resultado en JSON que se obtiene al usar la acción Is Value In Data Table (¿El valor está en la tabla de datos?):
[{
"Entity": "asda",
"EntityResult": {
"is_found": true,
"matched_rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
}]
Mensajes de salida
La acción ¿El valor está en la tabla de datos? proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully searched provided values in the data table {data table}
in Google SecOps.
|
La acción se ha realizado correctamente. |
| Error al ejecutar la acción "Is Value In Data Table". Motivo: ERROR_REASON | No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Is Value In Data Table". Reason: the
following data tables were not found in:
DATA_TABLE_NAME:
COLUMN_NAMES. Please check the
spelling.
|
No se ha podido realizar la acción. |
Error executing action "Is Value In Data Table". Reason:
This action is not supported for Backstory API configuration. Please update
the integration configuration.
|
No se ha podido realizar la acción. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción ¿El valor está en la tabla de datos?:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Is Value In Reference List
Usa la acción ¿El valor está en la lista de referencia? para comprobar si los valores proporcionados se encuentran en las listas de referencia de Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción ¿El valor está en la lista de referencia? requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Reference List Names |
Obligatorio. Lista de nombres de listas de referencia separada por comas que se va a buscar. |
Values |
Obligatorio. Lista de valores separados por comas que se van a buscar. |
Case Insensitive Search |
Opcional. Si se selecciona, la búsqueda no distingue entre mayúsculas y minúsculas. |
Resultados de la acción
La acción ¿El valor está en la lista de referencia? proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON recibida al usar la acción Is Value In Reference List (¿El valor está en la lista de referencia?) con la API Backstory:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
En el siguiente ejemplo se describe la salida del resultado JSON recibida al usar la acción Is Value In Reference List (¿El valor está en la lista de referencia?) con la API Chronicle:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
Mensajes de salida
La acción ¿El valor está en la lista de referencia? proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully searched provided values in the reference lists in
Google Chronicle.
|
La acción se ha realizado correctamente. |
| Error al ejecutar la acción "Is Value In Reference List". Motivo: ERROR_REASON | No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Is Value In Reference List". Reason: the
following reference lists were not found in Google Chronicle:
MISSING_REFERENCE_LIST_NAME(S).
Please use the action "Get Reference Lists" to see what reference lists are
available.
|
No se ha podido realizar la acción. Ejecute la acción Obtener listas de referencia para comprobar si hay listas disponibles. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción ¿El valor está en la lista de referencia?:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Mostrar recursos
Usa la acción List Assets (Mostrar recursos) para mostrar los recursos de Google SecOps SIEM en función de las entidades relacionadas en un periodo de tiempo especificado.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
URLIP AddressHash
Entradas de acciones
La acción List Assets (Listar recursos) requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Max Hours Backwards |
Número de horas anteriores a la hora actual para obtener los recursos.
El valor predeterminado es |
Create Insight |
Si se selecciona esta opción, la acción crea una estadística con información sobre las entidades. Esta opción está habilitada de forma predeterminada. |
Max Assets To Return |
Número de recursos que se deben devolver. El valor predeterminado es |
Time Frame |
Opcional. Periodo del que se van a obtener los resultados. Estos son los valores posibles:
Si se selecciona El valor predeterminado es |
Start Time |
Hora de inicio en formato ISO 8601. Este parámetro es obligatorio si se asigna el valor |
End Time |
La hora de finalización en formato ISO 8601.
Si no asignas ningún valor y defines el parámetro |
Resultados de la acción
La acción List Assets (Listar recursos) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
Nombre: ENTITY_IDENTIFIER
Columnas:
- Hostname (Nombre de host)
- Dirección IP
- Primer artefacto visto
- Último artefacto visto
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción List Assets (Listar recursos) con la API Backstory:
{
"assets": [
{
"asset": {
"hostname": "example"
},
"firstSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-02-28T09:18:15.675Z"
},
"lastSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-09-24T06:43:59Z"
}
}
],
"uri": [
"https://INSTANCE/domainResults?domain=www.example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2020-09-27T12%3A07%3A34.166830443Z"
]
}
En el siguiente ejemplo se describe el resultado JSON que se recibe al usar la acción List Assets (Listar recursos) con la API de Chronicle:
[
{
"Entity": "192.0.2.229",
"EntityResult": {
"assets": [
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Open Source Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2024-09-20T14:14:07.843Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Open Source Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "OPEN_SOURCE_INTEL_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "ex ",
"valueType": "DOMAIN_NAME"
}
},
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Active Breach Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2023-07-05T02:42:52.935Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Active Breach Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "MANDIANT_ACTIVE_BREACH_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "example.com",
"valueType": "DOMAIN_NAME"
}
}
],
"uri": "https://INSTANCE.backstory.chronicle.security/destinationIpResults?ADDRESS=192.0.2.229&selectedList=IpViewDistinctAssets&referenceTime=2025-01-23T11%3A16%3A24.517449Z"
}
}
]
Mensajes de salida
La acción List Assets (Listar recursos) proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully listed related assets for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
La acción se ha realizado correctamente. |
Error executing action "List Assets". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción List Assets (Listar recursos):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
List Events
Usa la acción List Events (Listar eventos) para enumerar los eventos de un recurso concreto en un periodo específico.
Esta acción solo puede recuperar 10.000 eventos.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP addressMAC addressHostname
Entradas de acciones
La acción List Events requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Event Types |
Lista de tipos de eventos separados por comas.
Si no se proporciona ningún valor, se obtendrán todos los tipos de eventos. Para ver una lista de todos los valores posibles, consulta Valores posibles del tipo de evento. |
Time Frame |
El periodo especificado. Recomendamos que sea lo más pequeño posible para obtener mejores resultados.
Si se selecciona Si se selecciona Estos son los valores posibles:
El valor predeterminado es |
Start Time |
Hora de inicio en formato ISO 8601. Este parámetro es obligatorio si el parámetro |
End Time |
La hora de finalización en formato ISO 8601. Si no se proporciona ningún valor y el parámetro Este parámetro acepta el valor |
Reference Time |
Hora de referencia para la búsqueda de eventos.
Si no se proporciona ningún valor, la acción usa la hora de finalización como referencia. |
Output |
Obligatorio. El formato de salida. Estos son los valores posibles:
|
Max Events To Return |
Número de eventos que se van a procesar por cada tipo de entidad. El valor predeterminado es |
Valores posibles del tipo de evento
Los valores posibles del parámetro Event Type son los siguientes:
EVENTTYPE_UNSPECIFIEDPROCESS_UNCATEGORIZEDPROCESS_LAUNCHPROCESS_INJECTIONPROCESS_PRIVILEGE_ESCALATIONPROCESS_TERMINATIONPROCESS_OPENPROCESS_MODULE_LOADREGISTRY_UNCATEGORIZEDREGISTRY_CREATIONREGISTRY_MODIFICATIONREGISTRY_DELETIONSETTING_UNCATEGORIZEDSETTING_CREATIONSETTING_MODIFICATIONSETTING_DELETIONMUTEX_UNCATEGORIZEDMUTEX_CREATIONFILE_UNCATEGORIZEDFILE_CREATIONFILE_DELETIONFILE_MODIFICATIONFILE_READFILE_COPYFILE_OPENFILE_MOVEFILE_SYNCUSER_UNCATEGORIZEDUSER_LOGINUSER_LOGOUTUSER_CREATIONUSER_CHANGE_PASSWORDUSER_CHANGE_PERMISSIONSUSER_STATSUSER_BADGE_INUSER_DELETIONUSER_RESOURCE_CREATIONUSER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_UPDATE_PERMISSIONSUSER_COMMUNICATIONUSER_RESOURCE_ACCESSUSER_RESOURCE_DELETIONGROUP_UNCATEGORIZEDGROUP_CREATIONGROUP_DELETIONGROUP_MODIFICATIONEMAIL_UNCATEGORIZEDEMAIL_TRANSACTIONEMAIL_URL_CLICKNETWORK_UNCATEGORIZEDNETWORK_FLOWNETWORK_CONNECTIONNETWORK_FTPNETWORK_DHCPNETWORK_DNSNETWORK_HTTPNETWORK_SMTPSTATUS_UNCATEGORIZEDSTATUS_HEARTBEATSTATUS_STARTUPSTATUS_SHUTDOWNSTATUS_UPDATESCAN_UNCATEGORIZEDSCAN_FILESCAN_PROCESS_BEHAVIORSSCAN_PROCESSSCAN_HOSTSCAN_VULN_HOSTSCAN_VULN_NETWORKSCAN_NETWORKSCHEDULED_TASK_UNCATEGORIZEDSCHEDULED_TASK_CREATIONSCHEDULED_TASK_DELETIONSCHEDULED_TASK_ENABLESCHEDULED_TASK_DISABLESCHEDULED_TASK_MODIFICATIONSYSTEM_AUDIT_LOG_UNCATEGORIZEDSYSTEM_AUDIT_LOG_WIPESERVICE_UNSPECIFIEDSERVICE_CREATIONSERVICE_DELETIONSERVICE_STARTSERVICE_STOPSERVICE_MODIFICATIONGENERIC_EVENTRESOURCE_CREATIONRESOURCE_DELETIONRESOURCE_PERMISSIONS_CHANGERESOURCE_READRESOURCE_WRITTENANALYST_UPDATE_VERDICTANALYST_UPDATE_REPUTATIONANALYST_UPDATE_SEVERITY_SCOREANALYST_UPDATE_STATUSANALYST_ADD_COMMENT
Resultados de la acción
La acción List Events (Listar eventos) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado en JSON que se recibe al usar la acción List Events (Listar eventos):
{
"statistics": {
"NETWORK_CONNECTION": 10
}
{
"events": [
{
"metadata": {
"eventTimestamp": "2020-09-28T14:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
},
{
"metadata": {
"eventTimestamp": "2020-09-28T17:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
}
],
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=user-example-pc&referenceTime=2020-09-28T17%3A00%3A00Z&selectedList=AssetViewTimeline&startTime=2020-09-28T14%3A20%3A00Z&endTime=2020-09-28T20%3A20%3A00Z"
]
}
}
Mensajes de salida
La acción List Events (Listar eventos) proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully listed related events for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
La acción se ha realizado correctamente. |
Error executing action "List Events". Reason:
ERROR_REASON
|
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "List Events". Reason: invalid event type
is provided. Please check the spelling. Supported event types:
SUPPORTED_EVENT_TYPES
|
No se ha podido realizar la acción.
Comprueba que estén correctamente escritas. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción List Events (Listar eventos):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Mostrar IOCs
Usa la acción List IOCs para enumerar todos los indicadores de compromiso descubiertos en tu empresa en un intervalo de tiempo específico.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción List IOCs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Start Time |
Hora de inicio de los resultados en formato ISO 8601. |
Max IoCs to Fetch |
Número máximo de IoCs que se devolverán.
El intervalo es El valor predeterminado es |
Resultados de la acción
La acción List IOCs (Lista de IOCs) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
Columnas:
- Domain (Dominio)
- Categoría
- Origen
- Confianza
- Gravedad
- Hora de ingestión de IoC
- Hora de primera detección del IoC
- Hora de última detección del IoC
- URI
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON que se recibe al usar la acción List IOCs:
{
"matches":[
{
"artifact":{
"domainName":"www.example.com"
},
"firstSeenTime":"2018-05-25T20:47:11.048998Z",
"iocIngestTime":"2019-08-14T21:00:00Z",
"lastSeenTime":"2019-10-24T16:19:46.880830Z",
"sources":[
{
"category":"Spyware Reporting Server",
"confidenceScore":{
"intRawConfidenceScore":0,
"normalizedConfidenceScore":"Low"
},
"rawSeverity":"Medium",
"source":"Example List"
}
],
"uri":["URI"]
}
],
"moreDataAvailable":true
}
Mensajes de salida
La acción List IOCs (Listar indicadores de compromiso) proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully listed IOCs from the provided timeframe in Google
Chronicle. |
La acción se ha realizado correctamente. |
Error executing action "List IOCs". Reason:
ERROR_REASON.
|
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción List IOCs (Lista de IOCs):
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Buscar alertas similares
Usa la acción Buscar alertas similares para buscar alertas similares en Google SecOps.
Entradas de acciones
La acción Buscar alertas similares requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Time Frame |
El periodo de los resultados. Para obtener los mejores resultados, acota el periodo lo máximo posible.
Estos son los valores posibles:
|
IOCs / Assets |
Obligatorio. Lista separada por comas de IoCs o recursos que se deben buscar en las alertas. La acción realiza una búsqueda independiente de cada elemento proporcionado. |
Similarity By |
Atributos que se usarán para buscar alertas similares. Estos son los valores posibles:
El valor predeterminado es |
Cómo funciona el parámetro Similitud por
El parámetro Similarity By se aplica de forma diferente a las alertas de reglas y a las alertas externas.
Si se selecciona
Alert Name, Alert Type and ProductoAlert Name, Alert Type:En el caso de las alertas externas, la acción busca otras alertas externas que tengan el mismo nombre.
En el caso de las alertas de reglas, la acción procesa las alertas que se han originado en la misma regla.
Si se selecciona
Product:- La acción procesa las alertas que se han originado en el mismo producto, independientemente de si son alertas de reglas o alertas externas.
Por ejemplo, una alerta de Crowdstrike solo se asociará con otras alertas de Crowdstrike.
Si se selecciona
Only IOCs/Assets:La acción coincide con las alertas en función de los IOCs proporcionados en el parámetro
IOCs/Assets. Busca estos indicadores tanto en las alertas de reglas como en las alertas externas.Una alerta de IOC solo puede llevar a cabo esta acción si se selecciona esta opción. Si se proporciona cualquier otra opción, la acción se establece de forma predeterminada en
Only IOCs/Assets.
La acción Buscar alertas similares es una herramienta versátil para analizar alertas. Permite a los analistas correlacionar alertas del mismo periodo y extraer indicadores de compromiso relevantes para determinar si un incidente es un verdadero positivo.
Resultados de la acción
La acción Buscar alertas similares proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | Disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enlace del panel de casos
La acción Buscar alertas similares puede devolver los siguientes enlaces:
- CBN: GENERATED_LINK_BASED_ON_IU_ROOT_URL
- Regla: GENERATED_LINK_BASED_ON_IU_ROOT_URL
Tabla del panel de casos
Nombre de la tabla: IOC/ASSET_IDENTIFIER
Columnas de la tabla:
- Producto
- Nombres de host
- IPs
- Usuarios
- Direcciones de correo
- Temas
- URLs
- Hashes
- Procesos
- Visto por primera vez
- Última vez
- Nombre de alerta
- General
Resultado de JSON
En el siguiente ejemplo se describe la salida del resultado JSON recibida al usar la acción Buscar alertas similares:
{
"count": 123,
"distinct": [
{
"first_seen": "time of the first alert that matched our conditions",
"last_seen": "time of the last alert that matched our conditions",
"product_name": "product name",
"used_ioc_asset": "what user provided in the parameter IOCs and Assets",
"name": "Alert Name/Rule Name",
"hostnames": "csv list of unique hostnames that were found in alerts",
"urls": "csv list of unique urls that were found in alerts",
"ips": "csv list of unique ips that were found in alerts",
"subjects": "csv list of unique subjects that were found in alerts",
"users": "csv list of unique users that were found in alerts",
"email_addresses": "csv list of unique email_addresses that were found in alerts",
"hashes": "csv list of unique hashes that were found in alerts",
"processes": "csv list of unique processes that were found in alerts"
"rule_urls": ["Chronicle URL from API response for Rule"]
"count": 123
}
],
"processed_alerts": 10000,
"run_time": "how long it took to run the action or at least API request",
"EXTERNAL_url": "Chronicle URL from API response for EXTERNAL"
}
Mensajes de salida
La acción Buscar alertas similares proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Lookup Similar Alerts". Reason:
ERROR_REASON
|
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Lookup Similar Alerts". Reason: all of the
retries are exhausted. Please wait for a minute and try again.
|
No se ha podido realizar la acción. Espera unos minutos antes de volver a ejecutar la acción. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Buscar alertas similares:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad con Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully connected to the Google Chronicle backstory with the
provided connection parameters! |
La acción se ha realizado correctamente. |
Failed to connect to the Google Chronicle backstory. Error is
ERROR_REASON
|
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Eliminar filas de una tabla de datos
Usa la acción Quitar filas de tabla de datos para quitar filas de una tabla de datos en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Quitar filas de tabla de datos requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Data Table Name |
Obligatorio. Nombre visible de la tabla de datos que se va a actualizar. |
Rows |
Obligatorio. Lista de objetos JSON que se usa para buscar y eliminar filas. Incluye solo columnas válidas. El valor predeterminado es el siguiente: |
Resultados de la acción
La acción Quitar filas de tabla de datos proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe el resultado en JSON que se obtiene al usar la acción Eliminar filas de tabla de datos:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
Mensajes de salida
La acción Eliminar filas de tabla de datos proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully removed rows from the data table
DATA_TABLE_NAME in
Google SecOps.
|
La acción se ha realizado correctamente. |
Error executing action "Remove Rows From Data Table". Reason:
ERROR_REASON
|
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Eliminar filas de tabla de datos:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Quitar valores de la lista de referencia
Usa la acción Eliminar valores de la lista de referencias para quitar valores de una lista de referencias en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Eliminar valores de la lista de referencia requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Reference List Name |
Obligatorio. Nombre de la lista de referencias que se va a actualizar. |
Values |
Obligatorio. Lista de valores separados por comas que se van a quitar de la lista de referencia. |
Resultados de la acción
La acción Eliminar valores de la lista de referencia proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se describe la salida de resultados JSON recibida al usar la acción Remove Values From Reference List (Eliminar valores de la lista de referencia) con la API Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
En el siguiente ejemplo se describe el resultado JSON que se recibe al usar la acción Remove Values From Reference List (Eliminar valores de la lista de referencias) con la API de Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/<var class="readonly">REFERENCE_LIST_NAME</var>' }}",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Mensajes de salida
La acción Eliminar valores de la lista de referencias proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Successfully removed values from the reference list.
|
La acción se ha realizado correctamente. |
Error executing action "Remove Values From Reference List". Reason:
ERROR_REASON
|
No se ha podido realizar la acción.
Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Eliminar valores de la lista de referencia:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Conectores
Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).
Google Chronicle - Conector de alertas de Chronicle
Usa el conector de alertas de Google Chronicle para extraer información sobre las alertas basadas en reglas de Google SecOps SIEM.
Información general
El conector de alertas de Google Chronicle - Chronicle ingiere varios tipos de alertas de Google SecOps SIEM.
Estas son algunas de sus funciones y detalles operativos principales:
Consulta los datos de un periodo de una semana.
Para evitar que se pierdan alertas debido a retrasos en la indexación, se pueden configurar un periodo de relleno y un tiempo de espera de conexión más largo, aunque un relleno significativo puede afectar negativamente al rendimiento.
Utiliza listas dinámicas para ofrecer una configuración flexible.
Proporciona un
Fallback Severitypara las alertas que no tienen un valor de gravedad.Para ingerir IoCs, se debe crear una regla de detección correspondiente en Google SecOps SIEM que genere alertas basadas en los IoCs.
Filtro de lista dinámica
La lista dinámica se usa para filtrar alertas directamente desde la página de configuración del conector.
Lógica de operador
La lista dinámica usa una combinación de lógica AND y OR para procesar las reglas de filtro:
Lógica
OR: los valores de la misma línea, separados por una coma, se tratan con la lógicaOR(por ejemplo,Rule.severity = low,mediumsignificalowOmediumseverity).Lógica
AND: cada línea de la lista dinámica se trata con la lógicaAND(por ejemplo, una línea paraRule.severityy otra paraRule.ruleNamesignificaseverityYruleName).Los operadores admitidos (
=,!=,>,<,>=y<=) varían en función de la clave de filtro.
A continuación, se muestran ejemplos de uso de reglas de operadores:
- Rule.severity = medium: el conector solo ingiere alertas de reglas con gravedad media.
- Rule.severity = low,medium: el conector solo ingiere alertas de reglas con gravedad media o baja.
- Rule.ruleName = default_rule: el conector solo ingiere alertas de reglas con el nombre
default_rule.
Filtros admitidos
El conector de alertas de Chronicle admite el filtrado por las siguientes claves:
| Clave de filtro | Clave de respuesta | Operadores | Posibles valores |
|---|---|---|---|
Rule.severity |
detection, ruleLabels o severity |
=, !=, >, <,
>=, <= |
El sistema no distingue entre mayúsculas y minúsculas. |
Rule.ruleName |
detection o ruleName |
=, != |
Definido por el usuario. |
Rule.ruleID |
detection o ruleId |
=, != |
Definido por el usuario. |
Rule.ruleLabels.{key} |
detection o ruleLabels |
=, != |
Definido por el usuario. |
Gestión de ruleLabels
Para filtrar por una etiqueta específica de una regla, usa el formato Rule.ruleLabels.{key}.
Por ejemplo, para filtrar por una etiqueta con la clave type y el valor suspicious_behaviour, la entrada de la lista dinámica debe ser la siguiente:
Rule.ruleLabels.type=suspicious_behaviour
Entradas de conectores
El conector de alertas de Chronicle requiere los siguientes parámetros:
El valor predeterminado es Medium.
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada. El valor predeterminado es |
Event Field Name |
Obligatorio. Nombre del campo que determina el nombre del evento (subtipo). |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio. El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. La raíz de la API de la instancia de SIEM de Google SecOps. Google SecOps proporciona endpoints regionales para cada API. Por ejemplo, Ponte en contacto con el equipo de Asistencia de Google Cloud para saber qué endpoint debes usar. El valor predeterminado es |
User's Service Account |
Obligatorio. El contenido JSON completo de la cuenta de servicio utilizada para la autenticación. |
Fallback Severity |
Obligatorio. La gravedad predeterminada que se debe usar si la alerta de Google SecOps SIEM no incluye un valor de gravedad. Estos son los valores posibles:
|
Max Hours Backwards |
Opcional. Número de horas anteriores a la ejecución inicial del conector para recuperar incidentes. Este parámetro solo se aplica una vez. El valor máximo es El valor predeterminado es |
Max Alerts To Fetch |
Opcional. Número de alertas que se deben procesar en cada iteración del conector. El valor predeterminado es |
Disable Event Splitting |
Opcional. Si se selecciona esta opción, el conector no dividirá los eventos originales en varias partes, lo que garantiza que el recuento de eventos coincida entre la fuente y Google SecOps SOAR. No está habilitada de forma predeterminada. |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor SIEM de SecOps de Google. Esta opción está habilitada de forma predeterminada. |
Proxy Server Address |
Opcional. Dirección del servidor proxy que se va a usar. |
Proxy Username |
Opcional. Nombre de usuario del proxy para autenticarse. |
Proxy Password |
Opcional. La contraseña del proxy para autenticarte. |
Disable Overflow |
Opcional. Si se selecciona, el conector ignora el mecanismo de desbordamiento de Google SecOps. No está habilitada de forma predeterminada. |
Reglas de conectores
El conector de alertas de Google Chronicle - Chronicle admite proxies.
Eventos del conector
El conector de alertas de Google Chronicle - Chronicle procesa tres tipos de eventos de Google SecOps SIEM.
Alertas basadas en reglas
Este tipo de evento lo genera una regla de detección en Google SecOps SIEM.
{
"alert_type": "RULE",
"event_type": "NETWORK_DHCP",
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "d3_test",
"urlBackToProduct": "https://INSTANCE/ruleDetections?ruleId=ru_74dd17e2-5aad-4053-acd7-958bead014f2&selectedList=RuleDetectionsViewTimeline&selectedParentDetectionId=de_b5dadaf4-b398-325f-9f09-833b71b3ffbb&selectedTimestamp=2022-02-08T05:02:36Z&versionTimestamp=2020-11-19T18:19:11.951951Z",
"ruleId": "ru_74dd17e2-5aad-4053-acd7-958bead014f2",
"ruleVersion": "ru_74dd17e2-5aad-4053-acd7-958bead014f2@v_1605809951_951951000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT",
"ruleLabels": [
{
"key": "author",
"value": "analyst123"
},
{
"key": "description",
"value": "8:00 AM local time"
},
{
"key": "severity",
"value": "Medium"
}
]
}
],
"createdTime": "2022-02-08T06:07:33.944951Z",
"id": "de_b5dadaf4-b398-325f-9f09-833b71b3ffbb",
"timeWindow": {
"startTime": "2022-02-08T05:02:36Z",
"endTime": "2022-02-08T05:02:36Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2022-02-08T05:02:36Z",
"eventType": "NETWORK_DHCP",
"productName": "Infoblox DHCP",
"ingestedTimestamp": "2022-02-08T05:03:03.892234Z"
},
"principal": {
"ip": [
"198.51.100.255",
"198.51.100.1"
],
"mac": [
"01:23:45:ab:cd:ef"
],
"email_address": [
"example@example.com"
]
},
"target": {
"hostname": "dhcp_server",
"ip": [
"198.51.100.0",
"198.51.100.1"
]
},
"network": {
"applicationProtocol": "DHCP",
"dhcp": {
"opcode": "BOOTREQUEST",
"ciaddr": "198.51.100.255",
"giaddr": "198.51.100.0",
"chaddr": "01:23:45:ab:cd:ef",
"type": "REQUEST",
"clientHostname": "example-user-pc",
"clientIdentifier": "AFm/LDfjAw=="
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2022-02-08T05:02:36Z"
}
Alertas externas
Este tipo de evento se basa en una alerta externa que se ingiere en Google SecOps SIEM.
{
"alert_type": "External",
"event_type": "GENERIC_EVENT",
"name": "Authentication failure [32038]",
"sourceProduct": "Internal Alert",
"severity": "Medium",
"timestamp": "2020-09-30T18:03:34.898194Z",
"rawLog": "U2VwIDMwIDE4OjAzOjM0Ljg5ODE5NCAxMC4wLjI5LjEwOSBBdXRoZW50aWNhdGlvbiBmYWlsdXJlIFszMjAzOF0=",
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=198.51.100.109&namespace=[untagged]&referenceTime=2020-09-30T18%3A03%3A34.898194Z&selectedList=AssetViewTimeline&startTime=2020-09-30T17%3A58%3A34.898194Z&endTime=2020-09-30T18%3A08%3A34.898194Z&selectedAlert=-610875602&selectedEventTimestamp=2020-09-30T18%3A03%3A34.898194Z"
],
"event": {
"metadata": {
"eventTimestamp": "2020-09-30T18:03:34.898194Z",
"eventType": "GENERIC_EVENT",
"productName": "Chronicle Internal",
"ingestedTimestamp": "2020-09-30T18:03:34.991592Z"
},
"target": [
{
"ip": [
"198.51.100.255",
"198.51.100.1"
]
}
],
"securityResult": [
{
"summary": "Authentication failure [32038]",
"severityDetails": "Medium"
}
]
}
}
Alertas de IoC
Este tipo de evento coincide con una lista predefinida de indicadores de compromiso.
{
"alert_type": "IOC",
"event_type": "IOC Alert",
"artifact": {
"domainName": "example.com"
},
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2020-09-07T11:00:00Z",
"firstSeenTime": "2018-10-03T00:01:59Z",
"lastSeenTime": "2022-02-04T20:02:29.191Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-08T15%3A08%3A52.434022777Z"
]
}
Estructura de las alertas
En la siguiente tabla se describe cómo el conector Google Chronicle - Alertas de Chronicle rellena los atributos de una alerta en Google SecOps. Los atributos de las alertas se agrupan por origen y tipo de alerta para que sean más fáciles de entender.
Atributos generados internamente
Estos atributos los genera el framework y son coherentes en todos los tipos de alertas.
| Nombre del atributo de alerta | Fuente |
|---|---|
SourceSystemName |
Generado internamente por el framework. |
TicketId |
El valor se toma del archivo ids.json. |
DisplayId |
Generada automáticamente. |
Atributos de todos los tipos de alertas
Estos atributos se derivan de la alerta de origen, pero su clave de origen varía según el tipo de alerta.
| Nombre del atributo de alerta | Fuente |
|---|---|
Priority |
Se toma de la respuesta de la API o del parámetro Fallback Severity. |
DeviceVendor |
El valor codificado es Google Chronicle. |
DeviceProduct |
Valor codificado que depende del tipo de alerta: RULE para las alertas de detección de reglas, IOC para las coincidencias de IOC o EXTERNAL para las alertas externas. |
Description |
En el caso de las alertas basadas en reglas, esta información procede de detection/ruleLabels/description (si existe). No está disponible para otros tipos de alertas. |
Reason |
No está disponible. |
SourceGroupingIdentifier |
No está disponible. |
Chronicle Alert - Attachments |
No está disponible. |
Tipos de alertas específicos
Estos atributos son específicos del origen de la alerta, lo que facilita la comprensión de cómo se rellena cada uno.
| Nombre del atributo de alerta | Alertas basadas en reglas | Alertas basadas en IOCs | Alertas externas |
|---|---|---|---|
Name |
detection/ruleName |
IOC Alert (codificado) |
alertInfos/name |
RuleGenerator |
detection/ruleName |
IOC Alert (codificado) |
alertInfos/name |
StartTime y EndTime |
timeWindow o startTime |
lastSeenTime |
timestamp |
Chronicle Alert - Extensions |
rule_id (ruleId), product_name (CSV
de un evento, metadatos o un valor de productName) |
No aplicable | alert_name (name), product_name (CSV de un evento o metadatos de UDM, o un valor de productName) |
Obsoleto: conector de alertas de Google Chronicle
Este conector extrae alertas de activos de Google SecOps SIEM y las convierte en alertas de Google SecOps SIEM.
Puedes autenticarte con la biblioteca de Google con google.oauth2.service_account y AuthorizedSession.
Este conector requiere la API de búsqueda de SIEM de Google SecOps.
Entradas de conectores
El conector de alertas requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio.
Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada. El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio. El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
Service Account Credentials |
Obligatorio. El contenido del archivo JSON de la cuenta de servicio. |
Fetch Max Hours Backwards |
Opcional. Número de horas anteriores a la ejecución inicial del conector para recuperar incidentes. Este parámetro solo se aplica una vez. El valor máximo es El valor predeterminado es |
Obsoleto: conector de IoCs de Google Chronicle
En su lugar, usa el conector de alertas de Chronicle.
Este conector extrae las coincidencias de dominio de IOC de Google SecOps SIEM y las convierte en alertas de Google SecOps SIEM.
Puedes autenticarte con la biblioteca de Google con google.oauth2.service_account y AuthorizedSession.
Este conector usa la API de búsqueda de SIEM de Google SecOps.
Entradas de conectores
El conector de Google Chronicle - IoCs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio.
Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada. El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio. El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
Service Account Credentials |
Obligatorio. El contenido del archivo JSON de la cuenta de servicio. |
Fetch Max Hours Backwards |
Opcional. Número de horas anteriores a la ejecución inicial del conector para recuperar las alertas. Este parámetro solo se aplica una vez. El valor máximo es El valor predeterminado es |
Max Alerts To Fetch |
Opcional. El número máximo de alertas que se procesarán en cada iteración del conector. El valor predeterminado es |
Empleo
Para obtener más información sobre los trabajos, consulta los artículos Configurar un nuevo trabajo y Programación avanzada.
Requisitos previos de configuración de tareas
Antes de continuar con la configuración del trabajo, configura el conector de alertas de Chronicle.
Para configurar los trabajos de Google Chronicle, sigue estos pasos:
En Google SecOps SOAR, vaya a Respuesta > Programador de trabajos.
Haz clic en AñadirCrear nuevo trabajo.
En el cuadro de diálogo Añadir trabajo que aparece, selecciona el trabajo de Google Chronicle correspondiente y haz clic en Guardar.
Opcional: Edita el nombre y la descripción del trabajo, si es necesario.
En la sección Detalles del trabajo:
- Asegúrate de que GoogleChronicle esté seleccionado en el campo Integración.
Para ejecutar la tarea automáticamente a intervalos especificados, configura un intervalo de programador. Es obligatorio configurar el programador para completar la configuración del trabajo.
Como los trabajos de Google Chronicle pueden sincronizar grandes cantidades de datos en una sola ejecución, Google recomienda que definas un intervalo de programación de al menos 2 minutos.
Google Chronicle - Tarea de sincronización de datos
Este trabajo funciona con las alertas creadas por el trabajo Conector de alertas de Chronicle y el trabajo Creador de alertas de Chronicle, pero no con las alertas de conectores obsoletos (Conector de alertas y Conector de IOCs).
El trabajo Datos de sincronización de Google Chronicle sincroniza las alertas y los casos actualizados de Google SecOps gestionados en Google SecOps SOAR con Google SecOps SIEM. Por lo tanto, puedes hacer un seguimiento de la misma información en ambos sistemas inmediatamente después de hacer cambios en Google SecOps SOAR.
Sincronización de datos de incidencias y alertas
El trabajo Google Chronicle Sync Data monitoriza y sincroniza los siguientes campos de los casos:
| Campo monitorizado | Campo sincronizado |
|---|---|
Priority |
Priority |
Status |
Status |
Title |
Title |
| No aplicable | Stage |
| No aplicable | Google SecOps Case ID |
| No aplicable | Google SecOps Case ID |
El ID de caso de Google SecOps es un identificador único de caso en Google SecOps SOAR y Google SecOps SIEM.
El trabajo Sincronización de datos de Google Chronicle monitoriza y sincroniza los siguientes campos de las alertas:
| Campo monitorizado | Campo sincronizado |
|---|---|
Priority |
Priority |
Status |
Status |
Case ID |
No aplicable |
| No aplicable | Google SecOps Alert ID |
| No aplicable | Google SecOps Case ID |
| No aplicable | Verdict |
| No aplicable | Closure Comment |
| No aplicable | Closure Reason |
| No aplicable | Closure Root Cause |
| No aplicable | Usefulness |
El ID de alerta de Google SecOps es un identificador único de alerta en Google SecOps SOAR.
En una iteración, el trabajo sincroniza hasta 1000 casos y 1000 alertas. La sincronización se produce en el entorno SOAR de Google SecOps que se especifica en la configuración del trabajo. El mecanismo de sincronización asegura que un caso del entorno especificado no se pueda sincronizar con otro entorno.
Configurar la tarea de sincronización de datos de Google Chronicle
Este trabajo solo sincroniza los casos de SOAR de Google SecOps ingresados desde el SIEM de Google SecOps.
Asegúrate de haber completado los pasos previos antes de configurar este trabajo.
Para configurar el trabajo Sincronización de datos de Google Chronicle, sigue estos pasos:
En la sección Parámetros, configure los siguientes parámetros:
Parámetro Descripción EnvironmentObligatorio.
Nombre del entorno creado en Google SecOps SOAR para sincronizar casos y alertas.
API RootObligatorio.
La raíz de la API de la instancia de SIEM de Google SecOps.
Google SecOps proporciona endpoints regionales para cada API.
Por ejemplo,
https://europe-backstory.googleapis.comohttps://asia-southeast1-backstory.googleapis.com.Si no sabes qué endpoint usar, [ponte en contacto con el equipo de Asistencia de Cloud](/chronicle/docs/getting-support).
El valor predeterminado es
https://backstory.googleapis.com.User's Service AccountObligatorio.
El contenido del archivo JSON de la cuenta de servicio de tu instancia de Google SecOps SIEM.
Max Hours BackwardsOpcional.
Número de horas a partir de las que se deben obtener las alertas. Usa solo números positivos.
El valor predeterminado es
24.Verify SSLObligatorio.
Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor SIEM de SecOps de Google.
Esta opción está habilitada de forma predeterminada.
El trabajo Google Chronicle Sync Data está habilitado de forma predeterminada. Cuando guardes el trabajo configurado correctamente, empezará a sincronizar datos con el SIEM de Google SecOps inmediatamente. Para inhabilitar el trabajo, activa o desactiva el interruptor situado junto al nombre del trabajo.
Para completar la configuración, haga clic en Guardar.
Si el botón Guardar está inactivo, asegúrese de que ha definido todos los parámetros obligatorios.
Opcional: Para ejecutar el trabajo inmediatamente después de guardarlo, haz clic en Ejecutar ahora.
La opción Ejecutar ahora te permite activar una sola ejecución de la tarea que sincroniza los datos de alertas y casos de SOAR de Google SecOps con el SIEM de Google SecOps.
Mensajes de registro
En la siguiente tabla se enumeran los posibles mensajes de registro de la tarea Sincronización de datos de Google Chronicle:
| Entrada de registro | Tipo | Descripción |
|---|---|---|
Unable to parse credentials as JSON. Please validate creds.
|
Error | La cuenta de servicio proporcionada en el parámetro User's Service Account
está dañada. |
"Max Hours Backwards" parameter must be a positive number. |
Error | El parámetro Max Hours backwards tiene el valor 0 o un número negativo. |
Current platform version does not support SDK methods designed for
Google SecOps. Please use version 6.1.33 or higher. |
Error | La versión actual de la instancia de la plataforma Google SecOps no admite la ejecución de la secuencia de comandos del trabajo de sincronización de datos de Chronicle. Esto significa que la versión de compilación de la instancia es anterior a la 6.1.33. |
Unable to connect to Google SecOps, please validate
your credentials: CREDENTIALS |
Error | No se han podido validar los valores de la cuenta de servicio o de la raíz de la API en la instancia de SIEM de Google SecOps. Este error se produce si falla la prueba de conectividad. |
--- Start Processing Updated Cases --- |
Información | Se ha iniciado el bucle de procesamiento de casos. |
Last success time. Date time:DATE_AND_TIME.
Unix:UNIX_EPOCH_TIME
|
Información | Marca de tiempo de la última ejecución correcta de la secuencia de comandos en casos o alertas:
|
Key: "DATABASE_KEY" does not exist in the
database. Returning default
value instead: DEFAULT_VALUE |
Información | La clave de la base de datos de alertas o casos pendientes no existe en la base de datos. Esta entrada de registro siempre aparece en la primera ejecución de la secuencia de comandos. |
Failed to parse data as JSON. Returning default value instead:
"DEFAULT_VALUE. ERROR:
ERROR |
Error | El valor obtenido de la base de datos no tiene un formato JSON válido. |
Exception was raised from the database. ERROR:
ERROR. |
Error | Hay un problema de conexión con la base de datos. |
|
Información | Los IDs de los casos o las alertas pendientes se han recuperado correctamente del backlog. CASE_IDS es el número de IDs de asistencia que se han proporcionado. |
|
Error | El número de casos o IDs de alertas pendientes que se obtienen de la base de datos es superior al límite (1000). Los IDs que superen el límite se ignorarán. Este error puede indicar una posible corrupción de la base de datos. |
|
Información | Los IDs de casos o alertas recién actualizados se han obtenido correctamente de la plataforma. |
|
Información | Se ha iniciado la actualización de casos y alertas en la instancia de Google SecOps SIEM. |
|
Error | El caso o la alerta especificados no se pueden sincronizar con Google SecOps SIEM. |
|
Información | El caso o la alerta pendientes especificados han alcanzado el límite de reintentos de sincronización (5) y no se han vuelto a insertar en la lista de tareas pendientes. |
|
Información | Lista de IDs de casos o alertas que no se pueden sincronizar con el SIEM de Google SecOps. |
Updated External Case IDs for the following cases:
CASE_IDS |
Información | Lista de casos en los que el trabajo ha actualizado el ID de caso externo de SIEM de Google SecOps correspondiente en la plataforma SOAR de Google SecOps. |
Failed to update external ids. |
Error | La entrada de registro que indica que ha habido un problema con el método del SDK o con la conexión que ha impedido actualizar los IDs de caso externos en la plataforma. |
|
Error | La entrada de registro que indica que se ha producido un error de finalización que ha impedido que el bucle de procesamiento de casos o alertas finalice de forma natural. La traza de pila se imprime después de este registro con el error específico. |
|
Información | El bucle de procesamiento de casos y alertas ha finalizado, ya sea de forma natural o con un error. |
|
Error | Lista de IDs de casos o alertas fallidos que tienen un número de reintentos inferior o igual a 5 para volver a escribirse en la lista de pendientes. |
|
Información | Se ha completado la fase de procesamiento de casos y alertas. |
Saving timestamps. |
Información | Guardar en la base de datos las marcas de tiempo de la última actualización correcta de casos y alertas. |
Saving pending ids. |
Información | Guardar los IDs de casos y alertas pendientes en la base de datos. |
Got exception on main handler. Error:
ERROR_REASON |
Error | Se ha producido un error general de finalización. La traza de pila se imprime después de este registro con el error específico. |
Google Chronicle Alerts Creator
El trabajo Google Chronicle Alerts Creator requiere la versión 6.2.30 o posterior de la plataforma Google SecOps.
Esta tarea crea todas las alertas de Google SecOps SOAR en Google SecOps SIEM, incluidas las alertas de desbordamiento. El trabajo Google Chronicle Alerts Creator no replica las alertas que proceden de Google SecOps.
El trabajo Google Chronicle Alerts Creator consulta la plataforma SOAR mediante el SDK de Python para alertas no sincronizadas. El trabajo envía alertas no sincronizadas a SIEM de forma individual. SIEM actualiza y devuelve los identificadores de las alertas de SIEM correspondientes, y SOAR guarda los identificadores mediante la API de la plataforma SOAR a través del SDK de Python.
Relación entre los trabajos de Google Chronicle
Un sistema Google SecOps completo ejecuta los siguientes tres componentes simultáneamente:
- Conector de alertas de Chronicle
- Trabajo Sincronizar datos de Google Chronicle
- Trabajo de Google Chronicle Alerts Creator
El trabajo Google Chronicle Sync Data crea y sincroniza casos. También sincroniza las modificaciones de casos y alertas, como los cambios de prioridad.
El trabajo Google Chronicle Alerts Creator genera todas las alertas, excepto las alertas de SIEM. La tarea Datos de sincronización de Google Chronicle envía actualizaciones sobre las alertas no sincronizadas después de que la tarea Creador de alertas de Google Chronicle cree las alertas.
Sincronización de datos de casos y alertas
Los casos se sincronizan de la misma forma que con el trabajo de datos de Google Chronicle Sync.
En Google SecOps SIEM, cada alerta se identifica con un identificador de alerta de SIEM. Las alertas de SOAR pueden adoptar un identificador de SIEM en dos casos:
Se genera una alerta en SIEM.
Esta alerta ya existe en Google SecOps SIEM y no es necesario duplicarla. El conector rellena el campo
siem_alert_id.Se genera una alerta en los conectores de terceros.
Esta alerta no existe en Google SecOps SIEM y requiere ejecutar una operación de sincronización explícita de la que se encarga el trabajo Google Chronicle Alerts Creator. Una vez completada la operación de sincronización, la alerta adquiere un nuevo identificador de SIEM.
Configurar el trabajo de Google Chronicle Alerts Creator
Asegúrate de haber completado los pasos previos antes de configurar el trabajo.
Para configurar el trabajo Google Chronicle Alerts Creator, sigue estos pasos:
Configure los parámetros de trabajo de la siguiente tabla:
Parámetro Descripción EnvironmentObligatorio.
El nombre del entorno creado en Google SecOps SOAR en el que quieres sincronizar casos y alertas.
API RootObligatorio.
La raíz de la API de la instancia de SIEM de Google SecOps.
Google SecOps proporciona endpoints regionales para cada API.
Por ejemplo,
https://europe-backstory.googleapis.comohttps://asia-southeast1-backstory.googleapis.com.Si no sabes qué endpoint usar, [ponte en contacto con el equipo de Asistencia de Cloud](/chronicle/docs/getting-support).
El valor predeterminado es
https://backstory.googleapis.com.User's Service AccountObligatorio.
El contenido del archivo JSON de la cuenta de servicio de tu instancia de Google SecOps SIEM.
Verify SSLObligatorio.
Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor SIEM de SecOps de Google.
Esta opción está habilitada de forma predeterminada.
Para completar la configuración, haga clic en Guardar.
Si el botón Guardar está inactivo, asegúrese de que ha definido todos los parámetros obligatorios.
Opcional: Para ejecutar el trabajo inmediatamente después de guardarlo, haz clic en Ejecutar ahora.
La opción Ejecutar ahora te permite activar una sola ejecución de la tarea que sincroniza los datos de alertas y casos de SOAR de Google SecOps con el SIEM de Google SecOps.
Mensajes de registro y gestión de errores
| Registro | Nivel | Descripción |
|---|---|---|
|
ERROR | La cuenta de servicio proporcionada en el parámetro User's Service Account está dañada. |
|
ERROR | La versión actual de la instancia de la plataforma Google SecOps no admite la ejecución de la secuencia de comandos de Google Chronicle Alerts Creator Job. Este error significa que la versión de compilación de la instancia es anterior a la 6.2.30. |
|
ERROR | Los valores de la cuenta de servicio o de la raíz de la API no se pueden validar en la instancia de Google SecOps SIEM. Este error se informa si falla la prueba de conectividad. |
|
INFO | Mensaje de registro que indica que el trabajo ha empezado. |
|
INFO | Mensaje de registro que indica que se ha iniciado la función principal. |
|
INFO | Mensaje de registro que indica el número de iteración del intento consecutivo actual. |
|
INFO | Mensaje de registro que indica que el código no obtiene más de BATCH_SIZE alertas nuevas de SOAR. |
|
INFO | Mensaje de registro que indica que se han obtenido alertas de NUMBER_OF_NEW_ALERTS SOAR. |
|
INFO | Mensaje de registro que indica que no se han encontrado alertas de SOAR nuevas y que el trabajo se va a detener. |
|
INFO | Mensaje de registro que indica que el trabajo ha obtenido las alertas de SOAR con los siguientes identificadores en la lista de IDs. Puedes usar esta información para monitorizar el progreso del trabajo y solucionar problemas con el código. |
|
INFO | Mensaje de registro que indica que la tarea está enviando alertas de SOAR a SIEM. |
|
ERROR | Mensaje de registro que indica que la alerta no se ha creado correctamente en SIEM debido a un error. |
|
INFO | Mensaje de registro que indica que el trabajo está actualizando SOAR con la respuesta de SIEM. |
|
ADVERTENCIA | Indica que SOAR no ha podido actualizar el estado de la sincronización de alertas. |
|
INFO | Mensaje de registro que indica que se han sincronizado un total de total_synced alertas
en la ejecución actual. |
|
INFO | Mensaje de registro que indica que el trabajo ha finalizado. |
|
ERROR | Mensaje de registro que indica que se ha producido una excepción en la función principal. El mensaje de excepción se incluye en el mensaje de registro. |
Casos prácticos
La integración de Google Chronicle te permite llevar a cabo los siguientes casos prácticos:
- Investigación y respuesta a amenazas de Windows en Chronicle
- Security Command Center y Chronicle Cloud DIR
Instalar el caso práctico
En Google SecOps Marketplace, ve a la pestaña Casos de uso.
En un campo de búsqueda, introduce el nombre del caso práctico.
Haz clic en el caso práctico.
Sigue los pasos y las instrucciones de configuración del asistente de instalación.
Una vez finalizado el proceso, todos los componentes necesarios se habrán instalado en tu máquina de Google SecOps. Para finalizar la instalación, configura el bloque Initialization (Inicialización) en el playbook que corresponda a tu caso práctico.
Investigación y respuesta ante amenazas de Windows de Chronicle
Aprovecha la potencia de SecOps de Google para responder en tiempo real a las amenazas de Windows en tu entorno. Con la inteligencia frente a amenazas para Google SecOps, los equipos de seguridad pueden aprovechar un servicio de inteligencia frente a amenazas de alta fidelidad junto con Google SecOps. Ahora, las amenazas reales de tu entorno se pueden clasificar y solucionar automáticamente en un breve periodo de tiempo.
En Google SecOps, ve a Respuesta > Playbooks.
Selecciona el playbook Google Chronicle - Investigación y respuesta ante amenazas de Windows. La guía se abre en la vista del diseñador de guías.
Haz doble clic en Set Initialization Block_1. Se abre el cuadro de diálogo de configuración del bloque.
Para configurar el manual de procedimientos, usa los siguientes parámetros:
Parámetro de entrada Posibles valores Descripción edr_product- CrowdStrike
- Carbon Black
- Ninguno
El producto de EDR que se va a usar en la guía. itsm_product- Service Now
- Jira
- ZenDesk
- Ninguno
El producto de gestión de servicios de TI que se va a usar en la guía. Jira requiere una configuración adicional en el bloque Abrir incidencia. crowdstrike_use_spotlightTrueoFalseSi True, la guía ejecuta acciones de Crowdstrike que requieren una licencia de Spotlight (información sobre vulnerabilidades).use_mandiantTrueoFalseSi True, la guía ejecuta el bloque de Mandiant.slack_userNombre de usuario o dirección de correo electrónico El nombre de usuario o la dirección de correo electrónico del usuario de Slack. Si no se proporciona ninguna, el manual salta los bloques de Slack. Haz clic en Guardar. Se cierra el cuadro de diálogo de configuración del bloque.
En el panel del diseñador de manuales, haz clic en Guardar.
Para probar el manual de instrucciones en el caso práctico, ingiere el caso de prueba incluido en el paquete. Algunas funciones de los casos de prueba pueden fallar porque los datos utilizados para las pruebas no están disponibles en tu entorno.
Security Command Center y Chronicle Cloud DIR
Integra Security Command Center con el SIEM de Google SecOps para que tus analistas puedan investigar los incidentes y las amenazas que detecte Security Command Center.
Configurar el caso práctico
Para este caso práctico, debe configurar las siguientes integraciones:
- Siemplify
- Herramientas
- Mitre ATT&CK
- Google Cloud IAM
- Google Chronicle
- Functions
- Computación de Google Cloud
- Email V2
- VirusTotal v3
Las integraciones de Google Security Command Center y Mandiant son opcionales.
Asegúrate de haber instalado el caso práctico antes de configurarlo.
- En Google SecOps, ve a la pestaña Playbooks.
- Selecciona el playbook SCC & Chronicle Cloud DIR.
- Haz doble clic en el bloque de inicialización para configurarlo.
- Configura el manual de procedimientos con los siguientes parámetros:
| Nombre del parámetro | Posibles valores | Descripción |
|---|---|---|
Mandiant_Enrichment |
True o False |
Si La integración de Mandiant debe configurarse para esta configuración. Puedes quitar el enriquecimiento si rara vez obtienes información útil. Si quitas el bloque de enriquecimiento, se mejora la velocidad de ejecución de la guía. |
SCC_Enrichment |
True o False |
Si La integración con Security Command Center debe configurarse para esta configuración. Puedes quitar el enriquecimiento si rara vez obtienes información útil. Si quitas el bloque de enriquecimiento, se mejora la velocidad de ejecución de la guía. |
IAM_Enrichment |
True o False |
Si True, la guía usa las funciones de gestión de identidades y accesos para enriquecer aún más la información. Puedes quitar el enriquecimiento si rara vez obtienes información útil. Si quitas el bloque de enriquecimiento, se mejora la velocidad de ejecución de la guía. |
Compute_Enrichment |
True o False |
Si True, el playbook usa las funciones de Compute Engine
para obtener información adicional. Puedes quitar el enriquecimiento si rara vez obtienes información útil. Si quitas el bloque de enriquecimiento, se mejora la velocidad de ejecución de la guía. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.