Integra Google Chronicle con Google SecOps
En este documento, se explica cómo integrar Google Chronicle con Google Security Operations (Google SecOps).
Versión de integración: 64.0
Casos de uso
La integración de Google Chronicle puede abordar los siguientes casos de uso:
Investigación y corrección automatizadas de phishing: Usa las capacidades de SOAR de Google SecOps para consultar automáticamente datos históricos de correos electrónicos, registros de actividad del usuario y datos de inteligencia sobre amenazas para evaluar la legitimidad de los correos electrónicos. La corrección automatizada puede ayudarte con la clasificación y la contención, ya que evita la propagación de software malicioso o la vulneración de datos.
Enriquecimiento de alertas de seguridad: Usa las capacidades de SOAR de SecOps de Google para enriquecer una alerta generada en un SIEM con contexto histórico, como el comportamiento pasado del usuario y la información de los activos. Esto proporciona a los analistas una vista integral de un incidente, lo que permite tomar decisiones más rápidas y fundamentadas.
Búsqueda de amenazas basada en estadísticas de Google SecOps: Usa las capacidades de SOAR de Google SecOps para automatizar el proceso de consulta de otras herramientas de seguridad en busca de indicadores de compromiso (IOC) relacionados. Esto puede ayudarte a identificar de forma proactiva posibles incumplimientos antes de que se agraven.
Guías automatizadas de respuesta ante incidentes: Usa las funciones de SOAR de Google SecOps para activar guías predefinidas que utilizan datos de Google SecOps para aislar sistemas vulnerados, bloquear direcciones IP maliciosas y notificar a las partes interesadas pertinentes. Esto puede reducir el tiempo de respuesta ante incidentes y minimizar el impacto de los incidentes de seguridad.
Informes y auditorías de cumplimiento: Usa las capacidades de SOAR de Google SecOps para automatizar la recopilación de datos de seguridad de Google SecOps para los informes de cumplimiento, agilizar el proceso de auditoría y reducir el esfuerzo manual.
Antes de comenzar
Antes de configurar la integración de Google Chronicle en Google SecOps, asegúrate de tener lo siguiente:
Google Cloud project: Acceso a unGoogle Cloud proyecto activo.
Permisos: Los roles necesarios de Identity and Access Management (IAM) en tu proyecto deGoogle Cloud para crear y administrar cuentas de servicio y políticas de IAM
Configura la integración
Los pasos de configuración dependen del tipo de implementación de Google SecOps:
Implementación unificada de SecOps: Si tu instancia de Google SecOps forma parte de una implementación unificada de SecOps (integrada con el SIEM de Google Security Operations), la integración suele aprovechar una cuenta de servicio predeterminada administrada por Google. En este caso, no es necesario que subas una clave JSON de la cuenta de servicio ni que configures Workload Identity de forma manual. Los permisos necesarios están preconfigurados o se heredan del entorno host.
Implementación de SOAR independiente: Si tu instancia de Google SecOps es una implementación de SOAR independiente (no integrada en el SIEM de Google Security Operations), debes configurar la autenticación de forma manual con uno de los siguientes métodos:
Archivo de claves JSON de la cuenta de servicio
Federación de identidades para cargas de trabajo
Autenticación con una clave JSON de cuenta de servicio
El proceso de autenticación para una clave JSON de cuenta de servicio difiere entre la API de Chronicle y la API de Backstory.
Autenticación de la API de Chronicle (recomendada)
Para usar la API de Chronicle, debes crear una cuenta de servicio en tu proyecto deGoogle Cloud .
En la consola de Google Cloud , ve a IAM y administración > Cuentas de servicio.
Selecciona Crear cuenta de servicio y sigue las indicaciones para crear la cuenta de servicio requerida.
Selecciona la dirección de correo electrónico de la nueva cuenta de servicio y ve a Claves > Agregar clave > Crear clave nueva.
Selecciona
JSONcomo el tipo de clave y haz clic en Crear. Se descargará un archivo de claves JSON en tu computadora.En Permisos > Administrar acceso, asigna los roles de IAM específicos de Google SecOps necesarios a la cuenta de servicio.
Autenticación de la API de Backstory
Para usar la API de Backstory, se requiere una cuenta de servicio. Un administrador debe crear esta cuenta para ti.
Comunícate con el equipo de asistencia de SecOps de Google y solicita una cuenta de servicio para la API de Backstory. Proporciona los detalles necesarios para la implementación de SOAR.
El equipo de asistencia de SecOps de Google te proporcionará un archivo de claves JSON para la cuenta de servicio.
Usa la clave proporcionada en la configuración de la integración.
Autenticación con Workload Identity (recomendado)
Workload Identity es el método de autenticación recomendado y más seguro para las implementaciones de SOAR independientes. Elimina la necesidad de administrar claves de cuentas de servicio de larga duración, ya que habilita credenciales federadas de corta duración.
Para configurar la autenticación con Workload Identity, sigue estos pasos:
Crea un proveedor y un grupo de Workload Identity:
En la consola de Google Cloud , ve a IAM y administración > Federación de identidades para cargas de trabajo.
Sigue las instrucciones para crear un grupo de identidades para cargas de trabajo y, luego, un proveedor de grupos de identidades para cargas de trabajo que confíe en Google SecOps como una identidad externa.
Puedes configurar el proveedor para que confíe en Google SecOps como una fuente de identidad externa con OpenID Connect (OIDC).
-
En la consola de Google Cloud , ve a IAM y administración > Cuentas de servicio.
Crea una cuenta de servicio dedicada en tu proyecto Google Cloud . La carga de trabajo externa (Google SecOps) suplantará la identidad de esta cuenta.
Otorga permisos a la cuenta de servicio:
Asigna los roles de IAM específicos de Google SecOps necesarios (por ejemplo, Visualizador de Chronicle o Editor de operaciones de seguridad de Chronicle) a la cuenta de servicio.
Otorga el rol
Service Account Token Creatoral proveedor de grupos de Workload Identity que creaste. Este permiso permite que el proveedor suplante a esta cuenta de servicio.
Configura la relación de confianza:
Establece la relación de confianza entre tu proveedor de grupos de Workload Identity y la cuenta de servicio. Esto vincula la identidad externa (que representa a Google SecOps) a la cuenta de servicio de Google Cloud .
Configura el parámetro de integración:
En el diálogo de configuración de la integración, ingresa la dirección de correo electrónico de la cuenta de servicio en el campo Correo electrónico de Workload Identity.
Para obtener instrucciones más detalladas sobre cómo configurar la federación de identidades para cargas de trabajo, consulta Google Cloud Workload Identity.
Parámetros de integración
La integración de Google Chronicle requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
UI Root |
Obligatorio. Es la URL base de la interfaz de SIEM de Google SecOps. Se usa para generar automáticamente vínculos directos a la plataforma del SIEM desde los registros de casos. El valor predeterminado es |
API Root |
Obligatorio. Es la raíz de la API de tu instancia de SIEM de Google SecOps. El valor depende del método de autenticación:
Si se usan las credenciales incorrectas para la raíz de la API, se producirá un error de conexión. |
User's Service Account |
Opcional. Es el contenido completo del archivo de claves JSON de la cuenta de servicio. Si no se configuran este parámetro y los parámetros de |
Workload Identity Email |
Opcional. Es la dirección de correo electrónico del cliente de tu federación de identidades para cargas de trabajo. Este parámetro tiene prioridad sobre el archivo de clave Para usar la federación de identidades para cargas de trabajo, debes otorgar el rol |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor SIEM de Google SecOps. Habilitados de forma predeterminada. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.
Agregar filas a la tabla de datos
Usa la acción Add Rows To Data Table para agregar filas a una tabla de datos en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Data Table Name |
Obligatorio. Es el nombre visible de la tabla de datos que se actualizará. |
Rows |
Obligatorio. Es una lista de objetos JSON que contiene información sobre las filas que se agregarán. Por ejemplo:
{
"columnName1": "value1",
"columnName2": "value2"
}
|
Resultados de la acción
La acción Add Rows To Data Table proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Estadísticas de la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra un resultado JSON de muestra que devuelve la acción Add Rows To Data Table:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
}
}
Mensajes de salida
La acción Add Rows To Data Table proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully added rows to the data table
DATA_TABLE_NAME in
Google SecOps. |
La acción se completó correctamente. |
Error executing action "Add Rows to Data Table". Reason:
ERROR_REASON |
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Add Rows To Data Table:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Agregar valores a la lista de referencia
Usa la acción Add Values To Reference List para agregar valores a una lista de referencia en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Reference List Name |
Obligatorio. Es el nombre de la lista de referencia que se actualizará. |
Values |
Obligatorio. Es una lista de valores separados por comas que se agregarán a la lista de referencia. |
Resultados de la acción
La acción Add Value To Reference List proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Estadísticas de la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Add Value To Reference List con la API de Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Add Value To Reference List con la API de Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_NAME",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Mensajes de salida
La acción Add Values To Reference List proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully added values to the reference list
REFERENCE_LIST_NAME. |
La acción se completó correctamente. |
Error executing action "Add Values To Reference List". Reason:
ERROR_REASON |
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Add Values To Reference List:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Preguntarle a Gemini
Usa la acción Preguntarle a Gemini para enviar una instrucción de texto a Gemini en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Automatic Opt-in |
Opcional. Si se selecciona, el playbook habilita automáticamente la conversación de Gemini para el usuario sin necesidad de una confirmación manual. Habilitados de forma predeterminada. |
Prompt |
Obligatorio. Es la instrucción o pregunta de texto inicial que se envía a Gemini. |
Resultados de la acción
La acción Pregúntale a Gemini proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Estadísticas de la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Pregúntale a Gemini:
{
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/users/me/conversations/db3b0fc2-94f8-42ae-b743-c3693f593269/messages/b58e3186-e697-4400-9da8-8ef252a20bd9",
"input": {
"body": "Is IP 159.138.84.217 malicious? What can you tell me about it?"
},
"responses": [
{
"blocks": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<p>The IP address 159.138.84.217 is associated with malware and threat actors.</p>\n<ul>\n<li>It is an IPv4 indicator.</li>\n<li>It is associated with BEACON malware.</li>\n<li>It is categorized as malware-Backdoor.</li>\n<li>It has a low confidence, high severity threat rating.</li>\n<li>VirusTotal's IP Address Report indicates the network for this IP is 159.138.80.0/20, and the IP is associated with HUAWEI CLOUDS in Singapore.</li>\n<li>VirusTotal's last analysis on April 22, 2025, showed 8 malicious detections out of 94 sources.</li>\n</ul>\n<p>I might have more details for a question with more context (e.g., what is the source of the IP, what type of network traffic is associated with the IP).</p>\n"
}
}
],
"references": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<ol>\n<li><a href=\"https://advantage.mandiant.com/indicator/ipv4/159.138.84.217\" target=\"_blank\">Mandiant - indicator - 159.138.84.217</a></li>\n</ol>\n"
}
}
],
"groundings": [
"IP address 159.138.84.217 malicious cybersecurity",
"IP address 159.138.84.217 threat intelligence"
]
}
],
"createTime": "2025-05-16T11:31:36.660538Z"
}
}
Mensajes de salida
La acción Pregúntale a Gemini proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully executed a prompt in Google SecOps. |
La acción se completó correctamente. |
Error executing action "GoogleChronicle - Ask Gemini".
Reason: ERROR_REASON |
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ask Gemini:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enrich Domain (obsoleto)
Usa la acción Enrich Domain para enriquecer los dominios con información de los IOC en el SIEM de Google SecOps.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
URLHostname
Entradas de acción
La acción Enrich Domain requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Create Insight |
Si se selecciona, la acción creará una estadística que contendrá información sobre las entidades. Habilitados de forma predeterminada. |
Only Suspicious Insight |
Si se selecciona, la acción solo creará una estadística para las entidades marcadas como sospechosas. No está habilitado de forma predeterminada. Si seleccionas este parámetro, también debes seleccionar |
Lowest Suspicious Severity |
Obligatorio. Es la gravedad más baja asociada con el dominio que se necesita para marcarlo como sospechoso. El valor predeterminado es
|
Mark Suspicious N/A Severity |
Obligatorio. Si se selecciona y la información sobre la gravedad no está disponible, la acción marca la entidad como sospechosa. |
Resultados de la acción
La acción Enrich Domain proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | Disponible |
| Estadísticas de la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
La acción Enrich Domain proporciona la siguiente tabla:
Nombre: ENTITY_IDENTIFIER
Columnas:
- Origen
- Gravedad
- Categoría
- Confianza
Enriquecimiento de entidades
La acción Enrich Domain admite la siguiente lógica de enriquecimiento de entidades:
| Campo de enriquecimiento | Lógica (cuándo aplicar) |
|---|---|
severity |
Cuando está disponible en JSON |
average_confidence |
Cuando está disponible en JSON |
related_domains |
Cuando está disponible en JSON |
categories |
Cuando está disponible en JSON |
sources |
Cuando está disponible en JSON |
first_seen |
Cuando está disponible en JSON |
last_seen |
Cuando está disponible en JSON |
report_link |
Cuando está disponible en JSON |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Enrich Domain con la API de Backstory:
{
{
"sources": [
{
"source": "ET Intelligence Rep List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Enrich Domain con la API de Chronicle:
[
{
"Entity": "example.com",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
},
{
"category": "Phishing",
"firstActiveTime": null,
"lastActiveTime": "2020-11-27T14:31:37Z",
"addresses": [
{
"domain": "example.com"
},
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "high",
"confidenceScore": {
"strRawConfidenceScore": "high"
}
},
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
},
{
"metadata": {
"title": "ESET Threat Intelligence",
"description": "ESET Threat Intelligence"
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Phishing",
"activeTimerange": {
"end": "2020-11-27T14:31:37Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "High",
"rawSeverity": "High"
}
]
},
{
"metadata": {
"title": "Mandiant Active Breach Intelligence",
"description": "Mandiant Active Breach IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
}
]
}
}
]
Mensajes de salida
La acción Enrich Domain proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully enriched the following domain in Google Chronicle:
LIST_OF_IDS |
La acción se completó correctamente. |
Error executing action "Enrich Domain". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Enrich Domain:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enriquece entidades
Usa la acción Enrich Entities para consultar a Google SecOps y obtener contexto y atributos adicionales para los tipos de entidades especificados. Esta acción mejora los datos de investigación de amenazas integrando información externa.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressURL(extrae el dominio de la URL)UserEmail(entidad de usuario con regex de correo electrónico)
Entradas de acción
La acción Enrich Entities requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Namespace |
Opcional. Es la agrupación lógica o el alcance de las entidades que se enriquecerán. Si no se selecciona, el enriquecimiento se aplica a las entidades en el espacio de nombres predeterminado o en todos los espacios de nombres accesibles. Las entidades deben pertenecer a este espacio de nombres para poder procesarse. |
Time Frame |
Opcional. Es un período relativo (por ejemplo, Este parámetro tiene prioridad sobre |
Start Time |
Opcional. Es la hora de inicio del período de enriquecimiento en formato ISO 8601. Úsalo con |
End Time |
Opcional. Es la hora de finalización absoluta del período de enriquecimiento en formato ISO 8601. Se usa con |
Resultados de la acción
La acción Enrich Entities proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
GoogleSecOps_related_entities |
La cantidad de related_entities | Cuando está disponible en el resultado JSON. |
GoogleSecOps_alert_count_ruleName |
{alertCounts.count} para cada regla específica | Cuando está disponible en el resultado JSON. |
GoogleSecOps_first_seen |
metric.firstSeen |
Cuando está disponible en el resultado JSON. |
GoogleSecOps_last_seen |
metric.lastSeen |
Cuando está disponible en el resultado JSON. |
GoogleSecOps_flattened_key_under_entity |
Es el valor de la clave, aplanado desde la estructura anidada del objeto "entity". |
Cuando está disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Enrich Entities:
[
{
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"domain": {
"name": "markossolomon.com",
"firstSeenTime": "1970-01-01T00:00:00Z",
"lastSeenTime": "1970-01-01T00:00:00Z",
"registrar": "NameCheap, Inc.",
"creationTime": "2013-12-06T02:41:09Z",
"updateTime": "2019-11-06T11:48:33Z",
"expirationTime": "2020-12-06T02:41:09Z",
"registrant": {
"userDisplayName": "WhoisGuard Protected",
"emailAddresses": [
"58d09cb5035042e9920408f8bafd0869.protect@whoisguard.com"
],
"personalAddress": { "countryOrRegion": "PANAMA" },
"companyName": "WhoisGuard, Inc."
}
}
}
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "npatni-sysops",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "npatni-sysops" }
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "329" },
{ "rule": "rule_testbucket", "count": "339" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "332" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 1000 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "exlab2019-ad",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "exlab2019-ad" }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.30.202.229",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "ip": ["172.30.202.229"] }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.17.0.1",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": { "namespace": "Yuriy", "asset": { "ip": ["172.17.0.1"] } },
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
}
},
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "911d039e71583a07320b32bde22f8e22",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"file": {
"sha256": "bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527",
"md5": "911d039e71583a07320b32bde22f8e22",
"sha1": "ded8fd7f36417f66eb6ada10e0c0d7c0022986e9",
"size": "278528",
"fileType": "FILE_TYPE_PE_EXE",
"names": [
"C:\\Windows\\System32\\cmd.exe",
"cmd",
"Cmd.Exe",
"C:\\Windows\\system32\\cmd.exe",
"C:\\Windows\\SYSTEM32\\cmd.exe",
"cmd.exe",
"C:\\\\Windows\\\\System32\\\\cmd.exe",
"C:\\windows\\SYSTEM32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\wjxpour4.d0f\\cmd.exe",
"c:\\Windows\\System32\\cmd.exe",
"Utilman.exe",
"c:\\windows\\system32\\cmd.exe",
"System32/cmd.exe",
"UtilityVM/Files/Windows/System32/cmd.exe",
"KerishDoctor/Data/KerishDoctor/Restore/cmd.rst",
"cmd.exe_",
"C:\\WINDOWS\\SYSTEM32\\cmd.exe",
"Cmd.exe",
"Windows/System32/cmd.exe",
"sethc.exe",
"C:\\WINDOWS\\System32\\cmd.exe",
"esRzqurX.exe",
"rofl.png",
"F:\\Windows\\SYSTEM32\\cmd.exe",
"utilman.exe",
"C:\\Windows\\system32\\CMD.exe",
"sys32exe/cmd.exe",
"cmd.txt",
"C:\\WINDOWS\\system32\\cmd.exe",
"cmd2.exe",
"Utilman.exe.sc",
"uhrHRIv8.exe",
"C:\\windows\\system32\\cmd.exe",
"submitted_file",
"C:\\Users\\user\\AppData\\Local\\Temp\\n1qo0bq3.2tn\\KerishDoctor\\Data\\KerishDoctor\\Restore\\cmd.rst",
"J6ff7z0hLYo.exe",
"N:\\Windows\\System32\\cmd.exe",
"Q:\\Windows\\System32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\cmd.exe",
"C:\\Users\\<USER>\\AppData\\Local\\Temp\\cmd.exe",
"test.exe",
"68E2F01F8DE9EFCAE9C0DD893DF0E8C34E2B5C98A6C4073C9C9E8093743D318600.blob",
"8FCVE0Kq.exe",
"cmd (7).exe",
"cmd (8).exe",
"21455_16499564_bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527_cmd.exe",
"LinX v0.9.11 (Intel)/cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\inbvmkaa.1xd\\LinX v0.9.11 (Intel)\\cmd.exe",
"cmd_b.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\sfd5bhoe.nqi\\cmd.exe",
"cMd.exe",
"Repl_Check.bat__",
"cmd.pdf",
"cmd.EXE",
"C:\\Users\\user\\AppData\\Local\\Temp\\uszjr42t.kda\\cmd.exe",
"LFepc1St.exe",
"firefox.exe",
"3BcnNlWV.exe",
"Utilman.exebak",
"utilman1.exe",
"1.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\ispvscgp.ep2\\sys32exe\\cmd.exe",
"cmd_1771019736291028992.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\xijgwqvd.54g\\cmd.exe",
"Sethc.exe",
"\\Device\\CdRom1\\DANFE352023067616112\\DANFE352023067616112.EXE",
"DANFE352023067616112.exe",
"file.exe",
"DANFE352023067616112/DANFE352023067616112.exe",
"C:\\Windows\\SYSTEM32\\Cmd.exe",
"pippo.exe",
"C:\\Windows\\System32\\sethc.exe",
"cmd.exe-bws024-windowsfolder",
"whatever.exe",
"sethc.exe.bak",
"S71dbOR1.exe",
"F:\\windows\\SYSTEM32\\cmd.exe",
"L6puhWL7.exe",
"DANFE357986551413927.exe",
"DANFE357666506667634.exe",
"\\Device\\CdRom1\\DANFE357666506667634\\DANFE357666506667634.EXE",
"\\Device\\CdRom1\\DANFE357986551413927\\DANFE357986551413927.EXE",
"\\Device\\CdRom1\\DANFE358567378531506\\DANFE358567378531506.EXE",
"\\Device\\CdRom1\\HtmlFactura3f48daa069f0e42253194ca7b51e7481DPCYKJ4Ojk\\HTMLFACTURA3F48DAA069F0E42253194CA7B51E7481DPCYKJ4OJK.EXE",
"\\Device\\CdRom1\\DANFE357410790837014\\DANFE357410790837014.EXE",
"\\Device\\CdRom1\\DANFE357702036539112\\DANFE357702036539112.EXE",
"winlogon.exe",
"AccessibilityEscalation.A' in file 'utilman.exe'",
"qpl9AqT0.exe",
"C:\\windows\\system32\\CMD.exe",
"C:\\po8az\\2po9hmc\\4v1b5.exe",
"batya.exe",
"nqAwJaba.exe",
"\\Device\\CdRom1\\DANFE356907191810758\\DANFE356907191810758.EXE",
"/Volumes/10_11_2023/DANFE356907191810758/DANFE356907191810758.exe",
"/Volumes/09_21_2023/DANFE357986551413927/DANFE357986551413927.exe",
"\\Device\\CdRom1\\DANFE355460800350113\\DANFE355460800350113.EXE",
"/Volumes/09_19_2023/DANFE355460800350113/DANFE355460800350113.exe",
"DANFE352429512050669.exe",
"/Volumes/04_15_2023/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3.exe"
],
"firstSeenTime": "2024-12-15T09:07:02Z",
"lastSeenTime": "2025-07-18T07:43:59.045Z",
"lastAnalysisTime": "2025-07-16T10:06:40Z",
"signatureInfo": {
"sigcheck": {
"verificationMessage": "Signed",
"verified": true,
"signers": [{ "name": "Microsoft Windows" }]
}
},
"firstSubmissionTime": "2025-07-15T16:30:27Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "329" },
{ "rule": "rule_testbucket", "count": "345" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "326" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{ "alertCount": 31 },
{ "alertCount": 111 },
{ "alertCount": 109 },
{ "alertCount": 82 },
{ "alertCount": 86 },
{ "alertCount": 98 },
{ "alertCount": 86 },
{ "alertCount": 85 },
{ "alertCount": 92 },
{ "alertCount": 89 },
{ "alertCount": 90 },
{ "alertCount": 41 }
],
"bucketSize": "172800s"
},
"prevalenceResult": [
{ "prevalenceTime": "2025-01-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-16T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-17T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-18T00:00:00Z", "count": 2 }
],
"relatedEntities": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiFQoGCPbso7wGEgsIv_bnwwYQwMq6FQ",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"hostname": "exlab2019-ad",
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIVCgYI9uyjvAYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"ip": ["172.30.202.229"],
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
}
]
}
},
{
"Entity": "tencent.com",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"domain": {
"name": "tencent.com",
"firstSeenTime": "2025-01-14T14:01:00Z",
"lastSeenTime": "2025-01-14T15:02:00Z",
"registrar": "MarkMonitor Information Technology (Shanghai) Co., Ltd.",
"creationTime": "1998-09-14T04:00:00Z",
"updateTime": "2024-08-20T08:04:01Z",
"expirationTime": "2032-09-13T04:00:00Z",
"registrant": {
"emailAddresses": [""],
"personalAddress": { "countryOrRegion": "CHINA" },
"companyName": "\u6df1\u5733\u5e02\u817e\u8baf\u8ba1\u7b97\u673a\u7cfb\u7edf\u6709\u9650\u516c\u53f8"
}
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "00:50:56:b6:34:86",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "mac": ["00:50:56:b6:34:86"] }
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
}
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
}
]
Mensajes de salida
La acción Enrich Entities puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado del script cuando se usa la acción Enrich Entities:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enrich IP (dejó de estar disponible)
Usa la acción Enrich IP para enriquecer las entidades de IP con información de los IOC en el SIEM de Google SecOps.
Esta acción se ejecuta en la entidad "Dirección IP".
Entradas de acción
La acción Enrich IP requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Create Insight |
Opcional. Si se selecciona, la acción crea una estadística que contiene información sobre las entidades.Habilitados de forma predeterminada. |
Only Suspicious Insight |
Opcional. Si se selecciona, la acción crea estadísticas solo para las entidades marcadas como sospechosas.No está habilitado de forma predeterminada. Si seleccionas este parámetro, también debes seleccionar |
Lowest Suspicious Severity |
Obligatorio. Es la gravedad más baja asociada a la dirección IP para marcarla como sospechosa. El valor predeterminado es
|
Mark Suspicious N/A Severity |
Obligatorio. Si se selecciona y la información sobre la gravedad no está disponible, la acción marca la entidad como sospechosa. |
Resultados de la acción
La acción Enrich IP proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
Nombre: ENTITY_IDENTIFIER
Columnas:
- Origen
- Gravedad
- Categoría
- Confianza
- Dominios relacionados
Enriquecimiento de entidades
La acción Enrich IP admite la siguiente lógica de enriquecimiento de entidades:
| Campo de enriquecimiento | Lógica (cuándo aplicar) |
|---|---|
severity |
Cuando está disponible en JSON |
average_confidence |
Cuando está disponible en JSON |
related_domains |
Cuando está disponible en JSON |
categories |
Cuando está disponible en JSON |
sources |
Cuando está disponible en JSON |
first_seen |
Cuando está disponible en JSON |
last_seen |
Cuando está disponible en JSON |
report_link |
Cuando está disponible en JSON |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Enrich IP con la API de Backstory:
{
{
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Enrich IP con la API de Chronicle:
[
{
"Entity": "192.0.2.121",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "low",
"confidenceScore": {
"strRawConfidenceScore": "67"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "67",
"rawSeverity": "Low"
}
]
}
]
}
}
]
Mensajes de salida
La acción Enrich IP proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully enriched the following IPs from Google Chronicle:
LIST_OF_IPS |
La acción se completó correctamente. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Enrich IP:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ejecutar RetroHunt
Usa la acción Ejecutar Retrohunt para ejecutar una búsqueda retroactiva de reglas en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Ejecutar Retrohunt requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Rule ID |
Obligatorio. Es el ID de la regla para la que se ejecutará una RetroHunt. Usa el formato |
Time Frame |
Opcional. Es el período para el que se recuperarán los resultados. Los valores posibles son los siguientes:
Si se selecciona El valor predeterminado es |
Start Time |
Es la hora de inicio de los resultados en formato ISO 8601. Este parámetro es obligatorio si el parámetro |
End Time |
Es la hora de finalización de los resultados en formato ISO 8601.
Si no estableces un valor y seleccionas el valor |
Resultados de la acción
La acción Ejecutar Retrohunt proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Estadísticas de la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Ejecutar búsqueda retroactiva con la API de Backstory:
{
"retrohuntId": "oh_d738c8ea-8fd7-4cc1-b43d-25835b8e1785",
"ruleId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497",
"versionId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497@v_1612472807_179679000",
"eventStartTime": "2021-01-14T23:00:00Z",
"eventEndTime": "2021-01-30T23:00:00Z",
"retrohuntStartTime": "2021-02-08T02:40:59.192113Z",
"state": "RUNNING"
}
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Ejecutar Retrohunt con la API de Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/RetrohuntMetadata",
"retrohunt": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID/retrohunts/RETROHUNT_ID",
"executionInterval": {
"startTime": "2025-01-22T12:16:20.963182Z",
"endTime": "2025-01-23T12:16:20.963182Z"
}
},
"retrohuntId": "RETROHUNT_ID",
"ruleId": "RULE_ID",
"versionId": "VERSION_ID",
"eventStartTime": "2025-01-22T12:16:20.963182Z",
"eventEndTime": "2025-01-23T12:16:20.963182Z"
}
Mensajes de salida
La acción Ejecutar Retrohunt proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully executed a retrohunt for the provided rule in Google
Chronicle.
|
La acción se completó correctamente. |
Error executing action "Execute Retrohunt". Reason:
ERROR_REASON |
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ejecutar Retrohunt:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ejecutar consulta de UDM
Usa la acción Ejecutar consulta de UDM para ejecutar una consulta de UDM personalizada en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Ejecutar consulta de UDM requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query String |
Obligatorio. Es la consulta que se ejecutará en Google SecOps. |
Time Frame |
Opcional. Es el período para el que se recuperarán los resultados. Los valores posibles son los siguientes:
Si se selecciona El valor predeterminado es |
Start Time |
Opcional. Es la hora de inicio de los resultados en formato ISO 8601 (por ejemplo, Este parámetro es obligatorio si el parámetro El período máximo es de 90 días. |
End Time |
Opcional. Es la hora de finalización de los resultados en formato ISO 8601 (por ejemplo, Si no estableces un valor y el parámetro El período máximo es de 90 días. |
Max Results To Return |
Opcional. Es la cantidad de resultados que se devolverán para una sola búsqueda. El valor máximo es El valor predeterminado es |
Resultados de la acción
La acción Ejecutar consulta de UDM proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Ejecutar consulta de UDM:
{
"events":[
"event":{
"metadata":{
"eventTimestamp":"2022-01-20T09:15:15.687Z",
"eventType":"USER_LOGIN",
"vendorName":"Example Vendor",
"productName":"Example Product",
"ingestedTimestamp":"2022-01-20T09:45:07.433587Z"
},
"principal":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.0"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
],
"location":{
"city":"San Francisco",
"state":"California",
"countryOrRegion":"US"
},
"asset":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.1",
"203.0.113.1",
"203.0.113.1"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
]
}
},
"target":{
"user":{
"userid":"Example",
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-4712406912-7108061610-2717800068-993683",
"emailAddresses":[
"example@example.com",
"admin.example@example.com"
],
"employeeId":"2406187",
"productObjectId":"f93f1540-4935-4266-aa8e-a750a319aa1c",
"firstName":"Example",
"lastName":"User",
"phoneNumbers":[
"555-01-75"
],
"title":"Executive Assistant",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
],
"managers":[
{
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-6051382818-4135626959-8120238335-834071",
"emailAddresses":[
"user@example.com"
],
"employeeId":"5478500",
"productObjectId":"8b3924d5-6157-43b3-857b-78aa6bd94705",
"firstName":"User",
"lastName":"Example",
"phoneNumbers":[
"555-01-75"
],
"title":"Chief Technology Officer",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
]
}
]
},
"ip":[
"198.51.100.1"
],
"email":"email@example.com",
"application":"Example Sign In"
},
"securityResult":[
{
"summary":"Successful Login",
"action":[
"ALLOW"
]
}
],
"extensions":{
"auth":{
"type":"SSO"
}
}
},
"eventLogToken":"96f23eb9ffaa9f7e7b0e2ff5a0d2e34c,1,1642670115687000,USER,|USER_LOGIN"
]
}
Mensajes de salida
La acción Ejecutar consulta de UDM proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Execute UDM Query". Reason:
ERROR_REASON
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Execute UDM Query". Reason: you've reached a
rate limit. Please wait for several minutes and try again. |
No se pudo realizar la acción. Espera varios minutos antes de volver a ejecutar la acción. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ejecutar consulta de UDM:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtener tablas de datos
Usa la acción Get Data Tables para recuperar las tablas de datos disponibles en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get Data Tables requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Filter Key |
Opcional. Es la clave por la que se filtra. La opción Los valores posibles son los siguientes: NameDescription |
Filter Logic |
Opcional. Es la lógica del filtro que se aplicará. Los valores posibles son los siguientes: Equal (para coincidencias exactas)Contains(para coincidencias de subcadenas) |
Filter Value |
Opcional. Es el valor que se usará en el filtro. Los valores posibles son los siguientes: Equal (para coincidencias exactas)Contains(para coincidencias de subcadenas)
Si no se proporciona nada, no se aplicará el filtro. |
Expanded Rows |
Opcional. Si se selecciona, la respuesta incluye filas detalladas de la tabla de datos. No está habilitado de forma predeterminada. |
Max Data Tables To Return |
Obligatorio. Es la cantidad de tablas de datos que se devolverán. El valor máximo es |
Max Data Table Rows To Return |
Obligatorio. Es la cantidad de filas de la tabla de datos que se devolverán. Solo usa este parámetro si El valor máximo es |
Resultados de la acción
La acción Get Data Tables proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado en formato JSON que se recibe cuando se usa la acción Get Data Tables:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table",
"displayName": "data_table",
"createTime": "2025-05-14T12:52:50.064133Z",
"updateTime": "2025-05-14T13:13:48.631442Z",
"columnInfo": [
{
"originalColumn": "columnName1",
"columnType": "STRING"
},
{
"columnIndex": 1,
"originalColumn": "columnName2",
"columnType": "STRING"
},
{
"columnIndex": 2,
"originalColumn": "columnName3",
"columnType": "STRING"
}
],
"dataTableUuid": "c3cce57bb8d940d5ac4523c37d540436",
"approximateRowCount": "2",
"rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
Mensajes de salida
La acción Get Data Tables proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully found data tables for the provided criteria in Google
SecOps |
La acción se completó correctamente. |
Error executing action "Get Data Tables". Reason:
ERROR_REASON |
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Get Data Tables:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Obtén detalles de la detección
Usa la acción Get Detection Details para recuperar información sobre una detección en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get Detection Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Rule ID |
Obligatorio. Es el ID de la regla relacionada con la detección. Usa el formato |
Detection ID |
Obligatorio. Es el ID de la detección para la que se recuperarán detalles. Si se proporcionan caracteres especiales, la acción no falla, pero devuelve una lista de detecciones. |
Resultados de la acción
La acción Get Detection Details proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado en formato JSON que se recibe cuando se usa la acción Get Detection Details:
{
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "singleEventRule2",
"urlBackToProduct":
"https://INSTANCE/ruleDetections?
ruleId=ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d&selectedList=RuleDetectionsViewTimeline&
selectedParentDetectionId=de_ce594791-09ed-9681-27fa-3b7c8fa6054c&
selectedTimestamp=2020-12-03T16: 50: 47.647245Z","ruleId": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d",
"ruleVersion": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d@v_1605892822_687503000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT"
}
],
"createdTime": "2020-12-03T19:19:21.325134Z",
"id": "de_ce594791-09ed-9681-27fa-3b7c8fa6054c",
"timeWindow": {
"startTime": "2020-12-03T16:50:47.647245Z",
"endTime": "2020-12-03T16:50:47.647245Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2020-12-03T16:50:47.647245Z",
"collectedTimestamp": "2020-12-03T16:50:47.666064010Z",
"eventType": "NETWORK_DNS",
"productName": "ProductName",
"ingestedTimestamp": "2020-12-03T16:50:49.494542Z"
},
"principal": {
"ip": [
"192.0.2.1"
]
},
"target": {
"ip": [
"203.0.113.1"
]
},
"securityResult": [
{
"action": [
"UNKNOWN_ACTION"
]
}
],
"network": {
"applicationProtocol": "DNS",
"dns": {
"questions": [
{
"name": "example.com",
"type": 1,
"class": 1
}
],
"id": 12345,
"recursionDesired": true
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2020-12-03T16:50:47.647245Z"
}
Mensajes de salida
La acción Get Detection Details proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully fetched information about the detection with ID
DETECTION_ID in Google Chronicle. |
La acción se completó correctamente. |
Error executing action "Get Detection Details". Reason:
ERROR_REASON |
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Get Detection Details:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtener listas de referencia
Usa la acción Get Reference Lists para recuperar las listas de referencia disponibles en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get Reference Lists requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Filter Key |
Es la clave por la que se filtrará.
Los valores posibles son los siguientes:
|
Filter Logic |
Es la lógica del filtro que se aplicará. Los valores posibles son los siguientes: Equal (para coincidencias exactas)Contains(para coincidencias de subcadenas)El valor predeterminado es |
Filter Value |
Es el valor que se usará en el filtro.
Los valores posibles son los siguientes: Equal (para coincidencias exactas)Contains(para coincidencias de subcadenas)
Si no se proporciona ningún valor, no se aplica el filtro. |
Expanded Details |
Si se selecciona, la acción devuelve información detallada sobre las listas de referencias.
No está habilitado de forma predeterminada. |
Max Reference Lists To Return |
Es la cantidad de listas de referencia que se devolverán.
El valor predeterminado es |
Resultados de la acción
La acción Get Reference List proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
En un muro de casos, la opción Get Reference Lists proporciona la siguiente tabla:
Nombre: Available Reference Lists
Columnas:
- Nombre
- Descripción
- Tipo
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Get Reference Lists con la API de Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Get Reference Lists con la API de Chronicle:
[
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_ID",
"displayName": "REFERENCE_LIST_ID",
"revisionCreateTime": "2025-01-09T15:53:10.851775Z",
"description": "Test reference list",
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-09T15:53:10.851775Z"
}
]
Mensajes de salida
La acción Get Reference Lists proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action
ACTION_NAME. Reason:
ERROR_REASON
|
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action
ACTION_NAME. Reason: "Invalid
value was provided for "Max Reference Lists to Return":
PROVIIDED_VALUE. Positive number should be provided. |
No se pudo realizar la acción.
Comprueba el valor del parámetro |
Secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Get Reference Lists:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén detalles de la regla
Usa la acción Get Rule Details para recuperar información sobre una regla en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get Rule Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Rule ID |
Obligatorio. Es el ID de la regla para la que se recuperarán los detalles. |
Resultados de la acción
La acción Get Rule Details proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Get Rule Details con la API de Backstory:
{
"ruleId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f",
"versionId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f@v_1602631093_146879000",
"ruleName": "SampleRule",
"metadata": {
"description": "Sample Description of the Rule",
"author": "author@example.com"
},
"ruleText": "rule SampleRule {
meta:
description = \"Sample Description of the Rule\"
author = \"author@example.com\"
events:
// This will just generate lots of detections
$event.metadata.event_type = \"NETWORK_HTTP\"
condition:
$event
} ",
"liveRuleEnabled": true,
"versionCreateTime": "2020-10-13T23:18:13.146879Z",
"compilationState": "SUCCEEDED"
}
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Get Rule Details con la API de Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID",
"revisionId": "v_1733917896_973567000",
"displayName": "Test_rule_SingleEvent",
"text": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"author": "example_user",
"metadata": {
"author": "example_user",
"description": "windowed single event example rule",
"severity": null
},
"createTime": "2024-12-11T11:36:18.192127Z",
"revisionCreateTime": "2024-12-11T11:51:36.973567Z",
"compilationState": "SUCCEEDED",
"type": "SINGLE_EVENT",
"allowedRunFrequencies": [
"LIVE",
"HOURLY",
"DAILY"
],
"etag": "CMj55boGEJjondAD",
"ruleId": "RULE_ID",
"versionId": "RULE_ID@v_1733917896_973567000",
"ruleName": "Test_rule_SingleEvent",
"ruleText": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"ruleType": "SINGLE_EVENT",
"versionCreateTime": "2024-12-11T11:51:36.973567Z"
}
Mensajes de salida
La acción Get Rule Details proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully fetched information about the rule with ID
RULE_ID in Google Chronicle.
|
La acción se completó correctamente. |
Error executing action "Get Rule Details". Reason:
ERROR_REASON
|
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Get Rule Details:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Is Value In Data Table
Usa Is Value In Data Table para verificar si los valores proporcionados se encuentran en una tabla de datos en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Is Value In Data Table requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Data Table Name |
Obligatorio. Es el nombre visible de la tabla de datos en la que se realizará la búsqueda. |
Column |
Opcional. Es una lista de columnas separadas por comas en las que se realizará la búsqueda. Si no se proporciona ningún valor, la acción busca en todas las columnas. |
Values |
Obligatorio. Es una lista de valores separados por comas que se deben buscar. |
Case Insensitive Search |
Opcional. Si se selecciona, la búsqueda no distinguirá mayúsculas de minúsculas. Habilitados de forma predeterminada. |
Max Data Table Rows To Return |
Obligatorio. Es la cantidad de filas de la tabla de datos que se devolverán por cada valor coincidente. El valor máximo es |
Resultados de la acción
La acción Is Value In Data Table proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Is Value In Data Table:
[{
"Entity": "asda",
"EntityResult": {
"is_found": true,
"matched_rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
}]
Mensajes de salida
La acción Is Value In Data Table proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully searched provided values in the data table {data table}
in Google SecOps.
|
La acción se completó correctamente. |
| Se produjo un error al ejecutar la acción "Is Value In Data Table". Motivo: ERROR_REASON | No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Is Value In Data Table". Reason: the
following data tables were not found in:
DATA_TABLE_NAME:
COLUMN_NAMES. Please check the
spelling.
|
No se pudo realizar la acción. |
Error executing action "Is Value In Data Table". Reason:
This action is not supported for Backstory API configuration. Please update
the integration configuration.
|
No se pudo realizar la acción. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Is Value In Data Table:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Is Value In Reference List
Usa la acción Is Value In Reference List para verificar si los valores proporcionados se encuentran en las listas de referencia de Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Is Value In Reference List requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Reference List Names |
Obligatorio. Es una lista separada por comas de los nombres de las listas de referencia que se buscarán. |
Values |
Obligatorio. Es una lista de valores separados por comas que se deben buscar. |
Case Insensitive Search |
Opcional. Si se selecciona, la búsqueda no distinguirá mayúsculas de minúsculas. |
Resultados de la acción
La acción Is Value In Reference List proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Is Value In Reference List con la API de Backstory:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Is Value In Reference List con la API de Chronicle:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
Mensajes de salida
La acción Is Value In Reference List proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully searched provided values in the reference lists in
Google Chronicle.
|
La acción se completó correctamente. |
| Se produjo un error al ejecutar la acción "Is Value In Reference List". Motivo: ERROR_REASON | No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Is Value In Reference List". Reason: the
following reference lists were not found in Google Chronicle:
MISSING_REFERENCE_LIST_NAME(S).
Please use the action "Get Reference Lists" to see what reference lists are
available.
|
No se pudo realizar la acción. Ejecuta la acción Get Reference Lists para verificar si hay listas disponibles. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Is Value In Reference List:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enumerar recursos
Usa la acción List Assets para enumerar los activos en Google SecOps SIEM según las entidades relacionadas dentro de un período especificado.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
URLIP AddressHash
Entradas de acción
La acción List Assets requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Max Hours Backwards |
Cantidad de horas previas al momento actual para recuperar los recursos.
El valor predeterminado es |
Create Insight |
Si se selecciona, la acción crea una estadística con información sobre las entidades. Habilitados de forma predeterminada. |
Max Assets To Return |
Es la cantidad de recursos que se devolverán. El valor predeterminado es |
Time Frame |
Opcional. Es el período para el que se recuperarán los resultados. Los valores posibles son los siguientes:
Si se selecciona El valor predeterminado es |
Start Time |
Es la hora de inicio en formato ISO 8601. Este parámetro es obligatorio si el parámetro |
End Time |
Es la hora de finalización en formato ISO 8601.
Si no estableces un valor y configuras el parámetro |
Resultados de la acción
La acción List Assets proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
Nombre: ENTITY_IDENTIFIER
Columnas:
- Nombre de host
- Dirección IP
- Artefacto visto por primera vez
- Último artefacto visto
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción List Assets con la API de Backstory:
{
"assets": [
{
"asset": {
"hostname": "example"
},
"firstSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-02-28T09:18:15.675Z"
},
"lastSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-09-24T06:43:59Z"
}
}
],
"uri": [
"https://INSTANCE/domainResults?domain=www.example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2020-09-27T12%3A07%3A34.166830443Z"
]
}
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción List Assets con la API de Chronicle:
[
{
"Entity": "192.0.2.229",
"EntityResult": {
"assets": [
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Open Source Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2024-09-20T14:14:07.843Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Open Source Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "OPEN_SOURCE_INTEL_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "ex ",
"valueType": "DOMAIN_NAME"
}
},
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Active Breach Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2023-07-05T02:42:52.935Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Active Breach Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "MANDIANT_ACTIVE_BREACH_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "example.com",
"valueType": "DOMAIN_NAME"
}
}
],
"uri": "https://INSTANCE.backstory.chronicle.security/destinationIpResults?ADDRESS=192.0.2.229&selectedList=IpViewDistinctAssets&referenceTime=2025-01-23T11%3A16%3A24.517449Z"
}
}
]
Mensajes de salida
La acción List Assets proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully listed related assets for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
La acción se completó correctamente. |
Error executing action "List Assets". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción List Assets:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enumera eventos
Usa la acción List Events para enumerar los eventos de un activo en particular dentro de un período especificado.
Esta acción solo puede recuperar 10,000 eventos.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP addressMAC addressHostname
Entradas de acción
La acción List Events requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Event Types |
Es una lista de tipos de eventos separados por comas.
Si no se proporciona ningún valor, se recuperan todos los tipos de eventos. Para obtener una lista de todos los valores posibles, consulta Valores posibles del tipo de evento. |
Time Frame |
Es el período especificado. Te recomendamos que lo mantengas lo más pequeño posible para obtener mejores resultados.
Si se selecciona Si se selecciona Los valores posibles son los siguientes:
El valor predeterminado es |
Start Time |
Es la hora de inicio en formato ISO 8601. Este parámetro es obligatorio si el parámetro |
End Time |
Es la hora de finalización en formato ISO 8601. Si no se proporciona ningún valor y el parámetro Este parámetro acepta el valor |
Reference Time |
Es la hora de referencia para la búsqueda de eventos.
Si no se proporciona ningún valor, la acción usa la hora de finalización como referencia. |
Output |
Obligatorio. Es el formato de salida. Los valores posibles son los siguientes:
|
Max Events To Return |
Es la cantidad de eventos que se procesarán para cada tipo de entidad. El valor predeterminado es |
Valores posibles del tipo de evento
Los valores posibles para el parámetro Event Type son los siguientes:
EVENTTYPE_UNSPECIFIEDPROCESS_UNCATEGORIZEDPROCESS_LAUNCHPROCESS_INJECTIONPROCESS_PRIVILEGE_ESCALATIONPROCESS_TERMINATIONPROCESS_OPENPROCESS_MODULE_LOADREGISTRY_UNCATEGORIZEDREGISTRY_CREATIONREGISTRY_MODIFICATIONREGISTRY_DELETIONSETTING_UNCATEGORIZEDSETTING_CREATIONSETTING_MODIFICATIONSETTING_DELETIONMUTEX_UNCATEGORIZEDMUTEX_CREATIONFILE_UNCATEGORIZEDFILE_CREATIONFILE_DELETIONFILE_MODIFICATIONFILE_READFILE_COPYFILE_OPENFILE_MOVEFILE_SYNCUSER_UNCATEGORIZEDUSER_LOGINUSER_LOGOUTUSER_CREATIONUSER_CHANGE_PASSWORDUSER_CHANGE_PERMISSIONSUSER_STATSUSER_BADGE_INUSER_DELETIONUSER_RESOURCE_CREATIONUSER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_UPDATE_PERMISSIONSUSER_COMMUNICATIONUSER_RESOURCE_ACCESSUSER_RESOURCE_DELETIONGROUP_UNCATEGORIZEDGROUP_CREATIONGROUP_DELETIONGROUP_MODIFICATIONEMAIL_UNCATEGORIZEDEMAIL_TRANSACTIONEMAIL_URL_CLICKNETWORK_UNCATEGORIZEDNETWORK_FLOWNETWORK_CONNECTIONNETWORK_FTPNETWORK_DHCPNETWORK_DNSNETWORK_HTTPNETWORK_SMTPSTATUS_UNCATEGORIZEDSTATUS_HEARTBEATSTATUS_STARTUPSTATUS_SHUTDOWNSTATUS_UPDATESCAN_UNCATEGORIZEDSCAN_FILESCAN_PROCESS_BEHAVIORSSCAN_PROCESSSCAN_HOSTSCAN_VULN_HOSTSCAN_VULN_NETWORKSCAN_NETWORKSCHEDULED_TASK_UNCATEGORIZEDSCHEDULED_TASK_CREATIONSCHEDULED_TASK_DELETIONSCHEDULED_TASK_ENABLESCHEDULED_TASK_DISABLESCHEDULED_TASK_MODIFICATIONSYSTEM_AUDIT_LOG_UNCATEGORIZEDSYSTEM_AUDIT_LOG_WIPESERVICE_UNSPECIFIEDSERVICE_CREATIONSERVICE_DELETIONSERVICE_STARTSERVICE_STOPSERVICE_MODIFICATIONGENERIC_EVENTRESOURCE_CREATIONRESOURCE_DELETIONRESOURCE_PERMISSIONS_CHANGERESOURCE_READRESOURCE_WRITTENANALYST_UPDATE_VERDICTANALYST_UPDATE_REPUTATIONANALYST_UPDATE_SEVERITY_SCOREANALYST_UPDATE_STATUSANALYST_ADD_COMMENT
Resultados de la acción
La acción List Events proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado en JSON que se recibe cuando se usa la acción List Events:
{
"statistics": {
"NETWORK_CONNECTION": 10
}
{
"events": [
{
"metadata": {
"eventTimestamp": "2020-09-28T14:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
},
{
"metadata": {
"eventTimestamp": "2020-09-28T17:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
}
],
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=user-example-pc&referenceTime=2020-09-28T17%3A00%3A00Z&selectedList=AssetViewTimeline&startTime=2020-09-28T14%3A20%3A00Z&endTime=2020-09-28T20%3A20%3A00Z"
]
}
}
Mensajes de salida
La acción List Events proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully listed related events for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
La acción se completó correctamente. |
Error executing action "List Events". Reason:
ERROR_REASON
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "List Events". Reason: invalid event type
is provided. Please check the spelling. Supported event types:
SUPPORTED_EVENT_TYPES
|
No se pudo realizar la acción.
Verifica la ortografía. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción List Events:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enumera los IOC
Usa la acción List IOCs para enumerar todos los IoC descubiertos en tu empresa dentro de un período especificado.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción List IOCs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Start Time |
Es la hora de inicio de los resultados en formato ISO 8601. |
Max IoCs to Fetch |
Es la cantidad máxima de IoCs que se devolverán.
El rango es de El valor predeterminado es |
Resultados de la acción
La acción List IOCs proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
Columnas:
- Dominio
- Categoría
- Origen
- Confianza
- Gravedad
- Tiempo de transferencia de IOC
- Fecha y hora de detección del IoC
- Fecha y hora de la última detección del IoC
- URI
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción List IOCs:
{
"matches":[
{
"artifact":{
"domainName":"www.example.com"
},
"firstSeenTime":"2018-05-25T20:47:11.048998Z",
"iocIngestTime":"2019-08-14T21:00:00Z",
"lastSeenTime":"2019-10-24T16:19:46.880830Z",
"sources":[
{
"category":"Spyware Reporting Server",
"confidenceScore":{
"intRawConfidenceScore":0,
"normalizedConfidenceScore":"Low"
},
"rawSeverity":"Medium",
"source":"Example List"
}
],
"uri":["URI"]
}
],
"moreDataAvailable":true
}
Mensajes de salida
La acción List IOCs proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully listed IOCs from the provided timeframe in Google
Chronicle. |
La acción se completó correctamente. |
Error executing action "List IOCs". Reason:
ERROR_REASON.
|
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción List IOCs:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Buscar alertas similares
Usa la acción Lookup Similar Alerts para buscar alertas similares en Google SecOps.
Esta acción solo funciona con las alertas de Google SecOps que se reciben del conector de alertas de Chronicle.
Entradas de acción
La acción Lookup Similar Alerts requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Time Frame |
Es el período especificado para los resultados. Para obtener los mejores resultados, mantén el período lo más acotado posible.
Los valores posibles son los siguientes:
|
IOCs / Assets |
Obligatorio. Es una lista separada por comas de los IoC o los activos que se deben buscar en las alertas. La acción realiza una búsqueda independiente para cada elemento proporcionado. |
Similarity By |
Son los atributos que se usarán para encontrar alertas similares. Los valores posibles son los siguientes:
El valor predeterminado es |
Cómo funciona el parámetro de similitud por
El parámetro Similarity By se aplica de manera diferente a las alertas de reglas y a las alertas externas.
Si se selecciona
Alert Name, Alert Type and ProductoAlert Name, Alert Type, haz lo siguiente:En el caso de las alertas externas, la acción busca otras alertas externas que tengan el mismo nombre.
En el caso de las alertas de reglas, la acción procesa las alertas que se originaron a partir de la misma regla.
Si se selecciona
Product, haz lo siguiente:- La acción procesa las alertas que se originaron en el mismo producto, independientemente de si son alertas de regla o alertas externas.
Por ejemplo, una alerta que se origina en Crowdstrike solo se correlacionará con otras alertas de Crowdstrike.
Si se selecciona
Only IOCs/Assets, haz lo siguiente:La acción coincide con las alertas según los IOC proporcionados en el parámetro
IOCs/Assets. Busca estos indicadores en las alertas de reglas y las alertas externas.Una alerta de IOC solo puede ejecutar esta acción cuando se selecciona esta opción. Si se proporciona cualquier otra opción, la acción se establece de forma predeterminada en
Only IOCs/Assets.
La acción Buscar alertas similares es una herramienta versátil para analizar alertas. Permite a los analistas correlacionar alertas del mismo período y extraer IOC relevantes para determinar si un incidente es un positivo verdadero.
Resultados de la acción
La acción Lookup Similar Alerts proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | Disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Lookup Similar Alerts:
{
"count": 123,
"distinct": [
{
"first_seen": "time of the first alert that matched our conditions",
"last_seen": "time of the last alert that matched our conditions",
"product_name": "product name",
"used_ioc_asset": "what user provided in the parameter IOCs and Assets",
"name": "Alert Name/Rule Name",
"hostnames": "csv list of unique hostnames that were found in alerts",
"urls": "csv list of unique urls that were found in alerts",
"ips": "csv list of unique ips that were found in alerts",
"subjects": "csv list of unique subjects that were found in alerts",
"users": "csv list of unique users that were found in alerts",
"email_addresses": "csv list of unique email_addresses that were found in alerts",
"hashes": "csv list of unique hashes that were found in alerts",
"processes": "csv list of unique processes that were found in alerts"
"rule_urls": ["Chronicle URL from API response for Rule"]
"count": 123
}
],
"processed_alerts": 10000,
"run_time": "how long it took to run the action or at least API request",
"EXTERNAL_url": "Chronicle URL from API response for EXTERNAL"
}
Mensajes de salida
La acción Lookup Similar Alerts proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Lookup Similar Alerts". Reason:
ERROR_REASON
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Lookup Similar Alerts". Reason: all of the
retries are exhausted. Please wait for a minute and try again.
|
No se pudo realizar la acción. Espera un minuto antes de volver a ejecutar la acción. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Lookup Similar Alerts:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Tabla del muro de casos
Nombre de la tabla: IOC/ASSET_IDENTIFIER
Columnas de la tabla:
- Producto
- Nombres de host
- IPs
- Usuarios
- Direcciones de correo electrónico
- Temas
- URLs
- Hashes
- Procesos
- Visto por primera vez
- Visto por última vez
- Nombre de la alerta
- General
Vínculo al muro de casos
La acción Buscar alertas similares puede devolver los siguientes vínculos:
- CBN: GENERATED_LINK_BASED_ON_IU_ROOT_URL
- Regla: GENERATED_LINK_BASED_ON_IU_ROOT_URL
Ping
Usa la acción Ping para probar la conectividad con Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully connected to the Google Chronicle backstory with the
provided connection parameters! |
La acción se completó correctamente. |
Failed to connect to the Google Chronicle backstory. Error is
ERROR_REASON
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Quita filas de la tabla de datos
Usa la acción Remove Rows From Data Table para quitar filas de una tabla de datos en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Remove Rows From Data Table requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Data Table Name |
Obligatorio. Es el nombre visible de la tabla de datos que se actualizará. |
Rows |
Obligatorio. Es una lista de objetos JSON que se usa para buscar y borrar filas. Solo se deben incluir las columnas válidas. El valor predeterminado es el siguiente: |
Resultados de la acción
La acción Remove Rows From Data Table proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado en formato JSON que se recibe cuando se usa la acción Remove Rows From Data Table:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
Mensajes de salida
La acción Remove Rows From Data Table proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully removed rows from the data table
DATA_TABLE_NAME in
Google SecOps.
|
La acción se completó correctamente. |
Error executing action "Remove Rows From Data Table". Reason:
ERROR_REASON
|
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Remove Rows From Data Table:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Quita valores de la lista de referencia
Usa la acción Remove Values From Reference List para quitar valores de una lista de referencia en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Remove Values From Reference List requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Reference List Name |
Obligatorio. Es el nombre de la lista de referencia que se actualizará. |
Values |
Obligatorio. Es una lista de valores separados por comas que se quitarán de la lista de referencia. |
Resultados de la acción
La acción Remove Values From Reference List proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Remove Values From Reference List con la API de Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
En el siguiente ejemplo, se describe el resultado de salida en formato JSON que se recibe cuando se usa la acción Remove Values From Reference List con la API de Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/<var class="readonly">REFERENCE_LIST_NAME</var>' }}",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Mensajes de salida
La acción Remove Values From Reference List proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully removed values from the reference list.
|
La acción se completó correctamente. |
Error executing action "Remove Values From Reference List". Reason:
ERROR_REASON
|
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Remove Values From Reference List:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Conectores
Para obtener más detalles sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).
Google Chronicle: conector de alertas de Chronicle
Usa el conector de Google Chronicle - Chronicle Alerts para extraer información sobre las alertas basadas en reglas del SIEM de Google SecOps.
Este conector se puede filtrar con una lista dinámica.
Descripción general
El conector de alertas de Google Chronicle ingiere varios tipos de alertas del SIEM de Google SecOps.
Las funciones clave y los detalles operativos incluyen lo siguiente:
Consulta datos dentro de un período de una semana.
Para evitar que se pierdan alertas debido a retrasos en la indexación, se pueden configurar un período de relleno y un aumento del tiempo de espera del conector, aunque un relleno significativo puede afectar negativamente el rendimiento.
El conector utiliza listas dinámicas para una configuración flexible.
Proporciona un
Fallback Severitypara las alertas que no tienen un valor de gravedad.Para transferir los IoC, se debe crear una regla de detección correspondiente en el SIEM de SecOps de Google que genere alertas basadas en los IoC.
Filtro de lista dinámica
La lista dinámica se usa para filtrar alertas directamente desde la página de configuración del conector.
Lógica del operador
La lista dinámica usa una combinación de lógica AND y OR para procesar las reglas de filtro:
Lógica OR: Los valores que se encuentran en la misma línea y están separados por una coma se tratan con lógica OR (por ejemplo,
Rule.severity = low,mediumsignifica gravedadlowOmedium).Lógica AND: Cada línea separada de la lista dinámica se trata con lógica AND (por ejemplo, una línea para
Rule.severityy una línea paraRule.ruleNamesignificaseverityYruleName).Los operadores admitidos (
=,!=,>,<,>=,<=) varían según la clave de filtro.
A continuación, se muestran ejemplos del uso de reglas de operadores:
- Rule.severity = medium: El conector solo ingiere alertas de reglas con gravedad media.
- Rule.severity = low,medium: El conector solo ingiere alertas de reglas con gravedad media o baja.
- Rule.ruleName = default_rule: El conector solo ingiere alertas de reglas con el nombre
default_rule.
Filtros compatibles
El conector de Chronicle Alerts admite el filtrado en las siguientes claves:
| Clave de filtro | Clave de respuesta | Operadores | Valores posibles |
|---|---|---|---|
Rule.severity |
detection, ruleLabels o severity |
=, !=, >, <,
>=, <= |
Los valores no distinguen mayúsculas de minúsculas. |
Rule.ruleName |
detection o ruleName |
=, != |
El usuario lo define. |
Rule.ruleID |
detection o ruleId |
=, != |
El usuario lo define. |
Rule.ruleLabels.{key} |
detection o ruleLabels |
=, != |
El usuario lo define. |
Manipulación ruleLabels
Para filtrar una etiqueta específica dentro de una regla, usa el formato Rule.ruleLabels.{key}.
Por ejemplo, para filtrar una etiqueta con la clave type y el valor suspicious_behaviour, la entrada de la lista dinámica debe ser la siguiente:
Rule.ruleLabels.type=suspicious_behaviour
Entradas del conector
El conector de Chronicle Alerts requiere los siguientes parámetros:
El valor predeterminado es Medium.
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es |
Event Field Name |
Obligatorio. Es el nombre del campo que determina el nombre del evento (subtipo). |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio. Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. Es la raíz de la API de la instancia de SIEM de Google SecOps. Google SecOps proporciona extremos regionales para cada API, por ejemplo, Comunícate con Atención al cliente de Cloud para saber qué extremo usar. El valor predeterminado es |
User's Service Account |
Obligatorio. Es el contenido JSON completo de la cuenta de servicio que se usa para la autenticación. |
Fallback Severity |
Obligatorio. Es la gravedad predeterminada que se usará si la alerta del SIEM de Google SecOps no incluye un valor de gravedad. Los valores posibles son los siguientes:
|
Max Hours Backwards |
Opcional. Es la cantidad de horas previas a la ejecución inicial del conector para recuperar incidentes. Este parámetro solo se aplica una vez. El valor máximo es El valor predeterminado es |
Max Alerts To Fetch |
Opcional. Es la cantidad de alertas que se procesarán en cada iteración del conector. El valor predeterminado es |
Disable Event Splitting |
Opcional. Si se selecciona esta opción, el conector no divide los eventos originales en varias partes, lo que garantiza que la cantidad de eventos coincida entre la fuente y Google SecOps SOAR. No está habilitado de forma predeterminada. |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor SIEM de Google SecOps. Habilitados de forma predeterminada. |
Proxy Server Address |
Opcional. Es la dirección del servidor proxy que se usará. |
Proxy Username |
Opcional. Nombre de usuario del proxy con el que se realizará la autenticación. |
Proxy Password |
Opcional. Contraseña del proxy para la autenticación. |
Disable Overflow |
Opcional. Si se selecciona, el conector ignora el mecanismo de desbordamiento de SecOps de Google. No está habilitado de forma predeterminada. |
Reglas del conector
El conector de alertas de Google Chronicle - Chronicle admite proxies.
Eventos del conector
El conector de alertas de Google Chronicle - Chronicle procesa tres tipos de eventos del SIEM de Google SecOps.
Alertas basadas en reglas
Este tipo de evento lo genera una regla de detección en el SIEM de Google SecOps.
{
"alert_type": "RULE",
"event_type": "NETWORK_DHCP",
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "d3_test",
"urlBackToProduct": "https://INSTANCE/ruleDetections?ruleId=ru_74dd17e2-5aad-4053-acd7-958bead014f2&selectedList=RuleDetectionsViewTimeline&selectedParentDetectionId=de_b5dadaf4-b398-325f-9f09-833b71b3ffbb&selectedTimestamp=2022-02-08T05:02:36Z&versionTimestamp=2020-11-19T18:19:11.951951Z",
"ruleId": "ru_74dd17e2-5aad-4053-acd7-958bead014f2",
"ruleVersion": "ru_74dd17e2-5aad-4053-acd7-958bead014f2@v_1605809951_951951000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT",
"ruleLabels": [
{
"key": "author",
"value": "analyst123"
},
{
"key": "description",
"value": "8:00 AM local time"
},
{
"key": "severity",
"value": "Medium"
}
]
}
],
"createdTime": "2022-02-08T06:07:33.944951Z",
"id": "de_b5dadaf4-b398-325f-9f09-833b71b3ffbb",
"timeWindow": {
"startTime": "2022-02-08T05:02:36Z",
"endTime": "2022-02-08T05:02:36Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2022-02-08T05:02:36Z",
"eventType": "NETWORK_DHCP",
"productName": "Infoblox DHCP",
"ingestedTimestamp": "2022-02-08T05:03:03.892234Z"
},
"principal": {
"ip": [
"198.51.100.255",
"198.51.100.1"
],
"mac": [
"01:23:45:ab:cd:ef"
],
"email_address": [
"example@example.com"
]
},
"target": {
"hostname": "dhcp_server",
"ip": [
"198.51.100.0",
"198.51.100.1"
]
},
"network": {
"applicationProtocol": "DHCP",
"dhcp": {
"opcode": "BOOTREQUEST",
"ciaddr": "198.51.100.255",
"giaddr": "198.51.100.0",
"chaddr": "01:23:45:ab:cd:ef",
"type": "REQUEST",
"clientHostname": "example-user-pc",
"clientIdentifier": "AFm/LDfjAw=="
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2022-02-08T05:02:36Z"
}
Alertas externas
Este tipo de evento se basa en una alerta externa que se transfiere a la SIEM de Google SecOps.
{
"alert_type": "External",
"event_type": "GENERIC_EVENT",
"name": "Authentication failure [32038]",
"sourceProduct": "Internal Alert",
"severity": "Medium",
"timestamp": "2020-09-30T18:03:34.898194Z",
"rawLog": "U2VwIDMwIDE4OjAzOjM0Ljg5ODE5NCAxMC4wLjI5LjEwOSBBdXRoZW50aWNhdGlvbiBmYWlsdXJlIFszMjAzOF0=",
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=198.51.100.109&namespace=[untagged]&referenceTime=2020-09-30T18%3A03%3A34.898194Z&selectedList=AssetViewTimeline&startTime=2020-09-30T17%3A58%3A34.898194Z&endTime=2020-09-30T18%3A08%3A34.898194Z&selectedAlert=-610875602&selectedEventTimestamp=2020-09-30T18%3A03%3A34.898194Z"
],
"event": {
"metadata": {
"eventTimestamp": "2020-09-30T18:03:34.898194Z",
"eventType": "GENERIC_EVENT",
"productName": "Chronicle Internal",
"ingestedTimestamp": "2020-09-30T18:03:34.991592Z"
},
"target": [
{
"ip": [
"198.51.100.255",
"198.51.100.1"
]
}
],
"securityResult": [
{
"summary": "Authentication failure [32038]",
"severityDetails": "Medium"
}
]
}
}
Alertas de IoC
Este tipo de evento coincide con una lista predefinida de IoCs.
{
"alert_type": "IOC",
"event_type": "IOC Alert",
"artifact": {
"domainName": "example.com"
},
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2020-09-07T11:00:00Z",
"firstSeenTime": "2018-10-03T00:01:59Z",
"lastSeenTime": "2022-02-04T20:02:29.191Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-08T15%3A08%3A52.434022777Z"
]
}
Estructura de la alerta
En la siguiente tabla, se describe cómo el conector Google Chronicle - Chronicle Alerts Connector completa los atributos de una alerta en Google SecOps. Para mayor claridad, los atributos de la alerta se agrupan según su origen y tipo.
Atributos generados internamente
Estos atributos los genera el framework y son coherentes en todos los tipos de alertas.
| Nombre del atributo de alerta | Fuente |
|---|---|
SourceSystemName |
Se genera internamente en el framework. |
TicketId |
El valor se toma del archivo ids.json. |
DisplayId |
Se genera automáticamente. |
Atributos para todos los tipos de alertas
Estos atributos se derivan de la alerta fuente, pero su clave de fuente varía según el tipo de alerta.
| Nombre del atributo de alerta | Fuente |
|---|---|
Priority |
Se toma de la respuesta de la API o del parámetro Fallback Severity. |
DeviceVendor |
El valor codificado es Google Chronicle. |
DeviceProduct |
Es un valor codificado que depende del tipo de alerta: RULE para las alertas de detección de reglas, IOC para las coincidencias de IOC o EXTERNAL para las alertas externas. |
Description |
En el caso de las alertas basadas en reglas, esta información se obtiene de detection/ruleLabels/description (si existe). No está disponible para otros tipos de alertas. |
Reason |
No disponible. |
SourceGroupingIdentifier |
No disponible |
Chronicle Alert - Attachments |
No disponible. |
Tipos de alertas específicos
Estos atributos son específicos del origen de la alerta, lo que facilita la comprensión de cómo se completa cada uno.
| Nombre del atributo de alerta | Alertas basadas en reglas | Alertas basadas en IOC | Alertas externas |
|---|---|---|---|
Name |
detection/ruleName |
IOC Alert (codificado de forma rígida) |
alertInfos/name |
RuleGenerator |
detection/ruleName |
IOC Alert (codificado de forma rígida) |
alertInfos/name |
StartTime y EndTime |
timeWindow o startTime |
lastSeenTime |
timestamp |
Chronicle Alert - Extensions |
rule_id (ruleId), product_name (CSV de un evento o metadatos, o un valor de productName) |
No aplicable | alert_name (name), product_name (CSV de un evento o metadatos del UDM, o un valor de productName) |
Obsoleto: Conector de alertas de Google Chronicle
Este conector extrae alertas de activos de la SIEM de Google SecOps y las convierte en alertas de la SIEM de Google SecOps.
Puedes autenticarte con la biblioteca de Google con google.oauth2.service_account y AuthorizedSession.
Este conector requiere la API de SIEM Search de Google SecOps.
Entradas del conector
El
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio.
Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio. Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
Service Account Credentials |
Obligatorio. Es el contenido del archivo JSON de la cuenta de servicio. |
Fetch Max Hours Backwards |
Opcional. Cantidad de horas previas a la ejecución inicial del conector desde las que se recuperan los incidentes. Este parámetro solo se aplica una vez. El valor máximo es El valor predeterminado es |
Obsoleto: Conector de IoCs de Google Chronicle
En su lugar, usa el conector de Chronicle Alerts.
Este conector extrae las coincidencias de dominios de IOC de la SIEM de Google SecOps y las convierte en alertas de la SIEM de Google SecOps.
Puedes autenticarte con la biblioteca de Google con google.oauth2.service_account y AuthorizedSession.
Este conector usa la API de Google SecOps SIEM Search.
Entradas del conector
El conector de IoCs de Google Chronicle requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio.
Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio. Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
Service Account Credentials |
Obligatorio. Es el contenido del archivo JSON de la cuenta de servicio. |
Fetch Max Hours Backwards |
Opcional. Es la cantidad de horas previas a la ejecución inicial del conector desde las que se recuperan las alertas. Este parámetro solo se aplica una vez. El valor máximo es El valor predeterminado es |
Max Alerts To Fetch |
Opcional. Es la cantidad máxima de alertas que se pueden procesar en cada iteración del conector. El valor predeterminado es |
| Campo de seguimiento | Campo sincronizado |
|---|---|
Priority |
Priority |
Status |
Status |
Title |
Title |
| No aplicable | Stage |
| No aplicable | Google SecOps Case ID |
| No aplicable | Google SecOps Case ID |
El ID de caso de Google SecOps es un identificador único de caso en la SOAR de Google SecOps y la SIEM de Google SecOps.
El trabajo Google Chronicle Sync Data hace un seguimiento de los siguientes campos de las alertas y los sincroniza:
| Campo de seguimiento | Campo sincronizado |
|---|---|
Priority |
Priority |
Status |
Status |
Case ID |
No aplicable |
| No aplicable | Google SecOps Alert ID |
| No aplicable | Google SecOps Case ID |
| No aplicable | Verdict |
| No aplicable | Closure Comment |
| No aplicable | Closure Reason |
| No aplicable | Closure Root Cause |
| No aplicable | Usefulness |
El ID de alerta de Google SecOps es un identificador único de la alerta en la SOAR de Google SecOps.
En una iteración, el trabajo sincroniza hasta 1,000 casos y 1,000 alertas. La sincronización se produce en el entorno de SOAR de Google SecOps que se especifica en la configuración del trabajo. El mecanismo de sincronización garantiza que un caso del entorno especificado no se pueda sincronizar con otro entorno.
Configura el trabajo de Google Chronicle Sync Data
Este trabajo solo sincroniza los casos de la SOAR de Google SecOps que se transfirieron desde la SIEM de Google SecOps.
Asegúrate de haber completado los pasos de los requisitos previos antes de configurar el trabajo.
Para configurar el trabajo Google Chronicle Sync Data, sigue estos pasos:
En la sección Parámetros, configura los siguientes parámetros:
Parámetro Descripción EnvironmentObligatorio.
Es el nombre del entorno creado en Google SecOps SOAR en el que deseas sincronizar casos y alertas.
API RootObligatorio.
Es la raíz de la API de la instancia de SIEM de Google SecOps.
Google SecOps proporciona extremos regionales para cada API.
Por ejemplo,
https://europe-backstory.googleapis.comohttps://asia-southeast1-backstory.googleapis.com.Si no sabes qué extremo usar, [comunícate con el equipo de Atención al cliente de Cloud](/chronicle/docs/getting-support).
El valor predeterminado es
https://backstory.googleapis.com.User's Service AccountObligatorio.
Contenido del archivo JSON de la cuenta de servicio de tu instancia de Google SecOps SIEM.
Max Hours BackwardsOpcional.
Cantidad de horas desde las que se recuperarán las alertas. Usa solo números positivos. Si ingresas 0 o un número negativo, se informa un error. Si este parámetro está vacío, el trabajo usa el valor predeterminado.
El valor predeterminado es
24.Verify SSLObligatorio.
Si se selecciona esta opción, Google SecOps verifica que el certificado SSL para conectarse al servidor SIEM de Google SecOps sea válido. Te recomendamos que selecciones esta opción.
Esta opción se selecciona de forma predeterminada.
El trabajo Google Chronicle Sync Data está habilitado de forma predeterminada. Cuando guardes el trabajo configurado correctamente, comenzará a sincronizar datos con Google SecOps SIEM de inmediato. Para inhabilitar el trabajo, cambia el botón de activación junto al nombre del trabajo.
Para completar la configuración, haz clic en Guardar.
Si el botón Guardar está inactivo, asegúrate de haber configurado todos los parámetros obligatorios.
Opcional: Para ejecutar el trabajo inmediatamente después de guardarlo, haz clic en Ejecutar ahora.
La opción Ejecutar ahora te permite activar una sola ejecución de trabajo que sincroniza los datos actuales de las alertas y los casos de Google SecOps SOAR con Google SecOps SIEM.
Mensajes de registro
En la siguiente tabla, se enumeran los posibles mensajes de registro para el trabajo de Google Chronicle Data Sync:
| Entrada de registros | Tipo | Descripción |
|---|---|---|
Unable to parse credentials as JSON. Please validate creds.
|
Error | La cuenta de servicio proporcionada en el parámetro User's Service Account está dañada. |
"Max Hours Backwards" parameter must be a positive number. |
Error | El parámetro Max Hours backwards se establece en 0 o en un número negativo. |
Current platform version does not support SDK methods designed for
Google SecOps. Please use version 6.1.33 or higher. |
Error | La versión actual de la instancia de la plataforma de SecOps de Google no admite la ejecución de la secuencia de comandos del trabajo de Chronicle Sync Data. Esto significa que la versión de compilación de la instancia es anterior a la 6.1.33. |
Unable to connect to Google SecOps, please validate
your credentials: CREDENTIALS |
Error | No se pudieron validar los valores de la cuenta de servicio o de la raíz de la API en la instancia de SIEM de Google SecOps. Este error se informa si falla la prueba de conectividad. |
--- Start Processing Updated Cases --- |
Información | Comenzó a ejecutarse el bucle de procesamiento de casos. |
Last success time. Date time:DATE_AND_TIME.
Unix:UNIX_EPOCH_TIME
|
Información | Es la marca de tiempo de la última ejecución correcta de la secuencia de comandos para casos o alertas:
|
Key: "DATABASE_KEY" does not exist in the
database. Returning default
value instead: DEFAULT_VALUE |
Información | La clave de la base de datos de la alerta o el caso pendiente no existe en la base de datos. Esta entrada de registro siempre aparece en la primera ejecución de la secuencia de comandos. |
Failed to parse data as JSON. Returning default value instead:
"DEFAULT_VALUE. ERROR:
ERROR |
Error | El valor recuperado de la base de datos no tiene un formato JSON válido. |
Exception was raised from the database. ERROR:
ERROR. |
Error | Hay un problema de conexión con la base de datos. |
|
Información | Se recuperaron correctamente del backlog los IDs de los casos o las alertas pendientes. CASE_IDS es la cantidad de IDs de casos que se trajeron. |
|
Error | La cantidad de IDs de casos o alertas pendientes que se recuperan de la base de datos es mayor que el límite (1,000). Se ignorarán los IDs que superen el límite. Este error puede indicar una posible corrupción de la base de datos. |
|
Información | Se recuperaron correctamente de la plataforma los IDs de la alerta o el caso recién actualizados. |
|
Información | Se inició la actualización de casos y alertas en la instancia de la SIEM de Google SecOps. |
|
Error | El caso o la alerta especificados no se pueden sincronizar con el SIEM de SecOps de Google. |
|
Información | El caso o la alerta pendientes especificados alcanzaron el límite de reintentos de sincronización (5) y no se insertaron de nuevo en la lista de tareas pendientes. |
|
Información | Es la lista de IDs de casos o alertas que no se pueden sincronizar con el SIEM de Google SecOps. |
Updated External Case IDs for the following cases:
CASE_IDS |
Información | Es la lista de casos para los que el trabajo actualizó el ID de caso externo del SIEM de Google SecOps coincidente en la plataforma SOAR de Google SecOps. |
Failed to update external ids. |
Error | Entrada de registro que indica que hubo un problema con el método o la conexión del SDK que impidió la actualización de los IDs de casos externos en la plataforma. |
|
Error | Es la entrada de registro que indica que hubo un error de finalización determinado que impidió que el caso o el bucle de procesamiento de alertas finalizaran de forma natural. El registro de pila se imprime después de este registro con el error específico. |
|
Información | El bucle de procesamiento de casos y alertas finalizó, ya sea de forma natural o con un error. |
|
Error | Es la lista de IDs de casos o alertas fallidos que tienen un recuento de reintentos menor o igual a 5 para volver a escribirse en el backlog. |
|
Información | Se completó la etapa de procesamiento del caso y la alerta. |
Saving timestamps. |
Información | Se guardan en la base de datos las marcas de tiempo de la última actualización correcta del caso y la alerta. |
Saving pending ids. |
Información | Se guardan los IDs de casos y alertas pendientes en la base de datos. |
Got exception on main handler. Error:
ERROR_REASON |
Error | Se produjo un error general de finalización. La pila de seguimiento se imprime después de este registro con el error específico. |
Trabajo de creador de alertas de Google Chronicle
El trabajo Google Chronicle Alerts Creator requiere la versión 6.2.30 o posterior de la plataforma de Google SecOps.
Este trabajo crea todas las alertas de la SOAR de Google SecOps en la SIEM de Google SecOps, incluidas las alertas de desbordamiento. El trabajo de Google Chronicle Alerts Creator no replica las alertas que se originan en Google SecOps.
El trabajo de Google Chronicle Alerts Creator consulta la plataforma de SOAR con el SDK de Python para las alertas no sincronizadas. El trabajo envía alertas no sincronizadas a la SIEM de forma individual. El SIEM actualiza y devuelve los identificadores de las alertas correspondientes del SIEM, y SOAR guarda los identificadores con la API de la plataforma de SOAR a través del SDK de Python.
Relación entre los trabajos de Google Chronicle
Un sistema completo de Google SecOps ejecuta los siguientes tres componentes de forma simultánea:
- Conector de Alertas de Chronicle
- Trabajo de Google Chronicle Sync Data
- Trabajo de Google Chronicle Alerts Creator
El trabajo Google Chronicle Sync Data crea y sincroniza casos. También sincroniza las modificaciones de casos y alertas, como los cambios de prioridad.
El trabajo Google Chronicle Alerts Creator genera todas las alertas, excepto las alertas del SIEM. El trabajo Google Chronicle Sync Data envía actualizaciones sobre las alertas no sincronizadas después de que el trabajo Google Chronicle Alerts Creator crea las alertas.
Sincronización de datos de casos y alertas
Los casos se sincronizan de la misma manera que con el trabajo de datos de Google Chronicle Sync.
En la SIEM de Google SecOps, cada alerta se identifica con un identificador de alerta de SIEM. Las alertas de SOAR pueden adoptar un identificador de SIEM en dos situaciones:
Se genera la alerta en el SIEM.
Esta alerta ya existe en el SIEM de Google SecOps, por lo que no es necesario duplicarla. El conector propaga el campo
siem_alert_id.Se genera una alerta en los conectores de terceros.
Esta alerta no existe en Google SecOps SIEM y requiere que se ejecute una operación de sincronización explícita de la que se encarga el trabajo Google Chronicle Alerts Creator. Una vez que se completa la operación de sincronización, la alerta adquiere un nuevo identificador de SIEM.
Configura el trabajo de Google Chronicle Alerts Creator
Asegúrate de haber completado los pasos de los requisitos previos antes de configurar el trabajo.
Para configurar el trabajo de Google Chronicle Alerts Creator, sigue estos pasos:
Configura los parámetros del trabajo según la siguiente tabla:
Parámetro Descripción EnvironmentObligatorio.
Es el nombre del entorno creado en Google SecOps SOAR en el que deseas sincronizar casos y alertas.
API RootObligatorio.
Es la raíz de la API de la instancia de SIEM de Google SecOps.
Google SecOps proporciona extremos regionales para cada API.
Por ejemplo,
https://europe-backstory.googleapis.comohttps://asia-southeast1-backstory.googleapis.com.Si no sabes qué extremo usar, [comunícate con el equipo de Atención al cliente de Cloud](/chronicle/docs/getting-support).
El valor predeterminado es
https://backstory.googleapis.com.User's Service AccountObligatorio.
Contenido del archivo JSON de la cuenta de servicio de tu instancia de Google SecOps SIEM.
Verify SSLObligatorio.
Si se selecciona esta opción, Google SecOps verifica que el certificado SSL para conectarse al servidor SIEM de Google SecOps sea válido. Te recomendamos que selecciones esta opción.
Esta opción se selecciona de forma predeterminada.
Para completar la configuración, haz clic en Guardar.
Si el botón Guardar está inactivo, asegúrate de haber configurado todos los parámetros obligatorios.
Opcional: Para ejecutar el trabajo inmediatamente después de guardarlo, haz clic en Ejecutar ahora.
La opción Ejecutar ahora te permite activar una sola ejecución de trabajo que sincroniza los datos actuales de las alertas y los casos de Google SecOps SOAR con Google SecOps SIEM.
Mensajes de registro y manejo de errores
| Registro | Nivel | Descripción |
|---|---|---|
|
ERROR | La cuenta de servicio proporcionada en el parámetro Cuenta de servicio del usuario está dañada. |
|
ERROR | La versión actual de la instancia de la plataforma de SecOps de Google no admite la ejecución de la secuencia de comandos del trabajo de Google Chronicle Alerts Creator. Este error significa que la versión de compilación de la instancia es anterior a la 6.2.30. |
|
ERROR | Los valores de la cuenta de servicio o de la raíz de la API no se pueden validar en la instancia de SIEM de SecOps de Google. Este error se informa si falla la prueba de conectividad. |
|
INFORMACIÓN | Mensaje de registro que indica que se inició el trabajo. |
|
INFORMACIÓN | Mensaje de registro que indica que se inició la función principal. |
|
INFORMACIÓN | Es un mensaje de registro que indica el número de iteración del intento consecutivo actual. |
|
INFORMACIÓN | Mensaje de registro que indica que el código no recupera más de BATCH_SIZE alertas nuevas de SOAR. |
|
INFORMACIÓN | Mensaje de registro que indica que se recuperaron las alertas de NUMBER_OF_NEW_ALERTS SOAR. |
|
INFORMACIÓN | Mensaje de registro que indica que no se encontraron alertas nuevas de SOAR y que el trabajo se detendrá. |
|
INFORMACIÓN | Mensaje de registro que indica que el trabajo recuperó las alertas de SOAR con los siguientes identificadores en la lista de IDs. Puedes usar esta información para hacer un seguimiento del progreso del trabajo y solucionar problemas relacionados con el código. |
|
INFORMACIÓN | Mensaje de registro que indica que el trabajo está enviando alertas de SOAR a la SIEM. |
|
ERROR | Mensaje de registro que indica que no se creó la alerta correctamente en el SIEM debido a un error. |
|
INFORMACIÓN | Mensaje de registro que indica que el trabajo está actualizando SOAR con la respuesta del SIEM. |
|
ADVERTENCIA | Indica que SOAR no pudo actualizar el estado de la sincronización de alertas. |
|
INFORMACIÓN | Mensaje de registro que indica que se sincronizó un total de total_synced alertas en la ejecución actual. |
|
INFORMACIÓN | Es un mensaje de registro que indica que el trabajo finalizó. |
|
ERROR | Mensaje de registro que indica que se produjo una excepción en la función principal. El mensaje de excepción se incluye en el mensaje de registro. |
Casos de uso
La integración de Google Chronicle te permite ejecutar los siguientes casos de uso:
- Investigación y respuesta ante amenazas de Windows con Chronicle
- Security Command Center y Chronicle Cloud DIR
Instala el caso de uso
En Google SecOps Marketplace, ve a la pestaña Casos de uso.
En un campo de búsqueda, ingresa el nombre del caso de uso.
Haz clic en el caso de uso.
Sigue los pasos y las instrucciones de configuración del asistente de instalación.
Una vez que finalice, todos los componentes requeridos se instalarán en tu máquina de Google SecOps. Para finalizar la instalación, configura el bloque Initialization en el playbook que corresponda a tu caso de uso.
Investigación y respuesta ante amenazas de Windows con Chronicle
Aprovecha el poder de Google SecOps para responder en tiempo real a las amenazas de Windows en tu entorno. Con Threat Intelligence para Google SecOps, los equipos de seguridad pueden aprovechar un servicio de inteligencia sobre amenazas de alta fidelidad junto con Google SecOps. Las amenazas reales en tu entorno ahora se pueden priorizar y corregir automáticamente en un período breve y eficaz.
En Google SecOps, ve a Response > Playbooks.
Selecciona el playbook Google Chronicle - Windows Threats Investigation & Response. La guía se abrirá en la vista del diseñador de guías.
Haz doble clic en Set Initialization Block_1. Se abrirá el cuadro de diálogo de configuración del bloque.
Para configurar el manual, usa los siguientes parámetros:
Parámetro de datos Valores posibles Descripción edr_product- CrowdStrike
- Carbon Black
- Ninguno
Es el producto de EDR que se usará en la guía. itsm_product- ServiceNow
- Jira
- ZenDesk
- Ninguno
Es el producto de ITSM que se usará en la guía. Jira requiere configuración adicional en el bloque Open Ticket. crowdstrike_use_spotlightTrueoFalseSi es True, la guía ejecuta acciones de Crowdstrike que requieren una licencia de Spotlight (información sobre vulnerabilidades).use_mandiantTrueoFalseSi es True, la guía ejecuta el bloque de Mandiant.slack_userNombre de usuario o dirección de correo electrónico Nombre de usuario o dirección de correo electrónico del usuario de Slack Si no se proporciona ninguno, la guía omite los bloques de Slack. Haz clic en Guardar. Se cerrará el cuadro de diálogo de configuración del bloque.
En el panel del diseñador de la guía, haz clic en Guardar.
Para probar el manual en el caso de uso, ingiere el caso de prueba incluido en el paquete. Es posible que algunas capacidades de los casos de prueba fallen porque los datos que se usan para las pruebas no están disponibles en tu entorno.
Security Command Center y Chronicle Cloud DIR
Integra Security Command Center con el SIEM de Google SecOps para permitir que tus analistas investiguen los incidentes y las amenazas que detecta Security Command Center.
Configura el caso de uso
El caso de uso requiere que configures las siguientes integraciones:
- Siemplify
- Herramientas
- Mitre ATT&CK
- Google Cloud IAM
- Google Chronicle
- Funciones
- Google Cloud Compute
- Email V2
- VirusTotal v3
Las integraciones de Google Security Command Center y Mandiant son opcionales.
Asegúrate de instalar el caso de uso antes de configurarlo.
- En Google SecOps, ve a la pestaña Playbooks.
- Selecciona el playbook SCC & Chronicle Cloud DIR.
- Haz doble clic en el bloque de inicialización para configurarlo.
- Configura la guía con los siguientes parámetros:
| Nombre del parámetro | Valores posibles | Descripción |
|---|---|---|
Mandiant_Enrichment |
True o False |
Si es La integración de Mandiant debe configurarse para esta configuración. Puedes quitar el enriquecimiento si rara vez obtienes información significativa. Quitar el bloque de enriquecimiento mejora la velocidad de ejecución de la guía. |
SCC_Enrichment |
True o False |
Si es La integración de Security Command Center debe configurarse para esta configuración. Puedes quitar el enriquecimiento si rara vez obtienes información significativa. Quitar el bloque de enriquecimiento mejora la velocidad de ejecución de la guía. |
IAM_Enrichment |
True o False |
Si es True, el playbook usa las capacidades de IAM para un enriquecimiento adicional. Puedes quitar el enriquecimiento si rara vez obtienes información significativa. Quitar el bloque de enriquecimiento mejora la velocidad de ejecución de la guía. |
Compute_Enrichment |
True o False |
Si es True, el playbook usa las capacidades de Compute Engine para un enriquecimiento adicional. Puedes quitar el enriquecimiento si rara vez obtienes información significativa. Quitar el bloque de enriquecimiento mejora la velocidad de ejecución de la guía. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.