Integra Google Chronicle con Google SecOps
En este documento, se explica cómo integrar Google Chronicle en Google Security Operations (Google SecOps).
Versión de integración: 64.0
Casos de uso
La integración de Google Chronicle puede abordar los siguientes casos de uso:
Investigación y corrección automatizadas de phishing: Usa las capacidades de SOAR de Google SecOps para consultar automáticamente datos históricos de correos electrónicos, registros de actividad del usuario y datos de inteligencia sobre amenazas para evaluar la legitimidad de los correos electrónicos. La corrección automatizada puede ayudarte con la clasificación y la contención, ya que evita la propagación de software malicioso o la vulneración de datos.
Enriquecimiento de alertas de seguridad: Usa las capacidades de SOAR de SecOps de Google para enriquecer una alerta generada en un SIEM con contexto histórico, como el comportamiento anterior del usuario y la información de los activos. Esto proporciona a los analistas una vista integral de un incidente, lo que permite tomar decisiones más rápidas y fundamentadas.
Búsqueda de amenazas basada en estadísticas de Google SecOps: Usa las capacidades de SOAR de Google SecOps para automatizar el proceso de consulta de otras herramientas de seguridad en busca de indicadores de compromiso (IOC) relacionados. Esto puede ayudarte a identificar de forma proactiva posibles incumplimientos antes de que se agraven.
Guías automatizadas de respuesta ante incidentes: Usa las funciones de SOAR de Google SecOps para activar guías predefinidas que utilizan datos de Google SecOps para aislar sistemas vulnerados, bloquear direcciones IP maliciosas y notificar a las partes interesadas pertinentes. Esto puede reducir el tiempo de respuesta ante incidentes y minimizar el impacto de los incidentes de seguridad.
Informes y auditorías de cumplimiento: Usa las capacidades de SOAR de Google SecOps para automatizar la recopilación de datos de seguridad de Google SecOps para los informes de cumplimiento, agilizar el proceso de auditoría y reducir el esfuerzo manual.
Antes de comenzar
Antes de configurar la integración de Google Chronicle en Google SecOps, asegúrate de tener acceso a un proyecto deGoogle Cloud activo.
Migración de la API de Backstory a la API de Chronicle
Algunas funciones y acciones nuevas de esta integración solo admiten la API de Chronicle, por lo que recomendamos a todos los usuarios que migren su implementación para usar las credenciales de la API de Chronicle.
Cómo encontrar la raíz de la API de Chronicle
Cuando accedas a la API de Chronicle, debes ubicar el API Root único de tu entorno para la configuración de la integración.
Abre las herramientas para desarrolladores de tu navegador y navega a la plataforma de Google SecOps.
Selecciona Investigación > Tablas de datos.
En Herramientas para desarrolladores, navega a la pestaña Red y haz clic en un elemento de la columna Nombre, como
dataTables?pageSize=1000.En el panel de detalles, selecciona Encabezados y copia el valor de
Request URL, que se encuentra en General, sin incluir el extremo ni ningún parámetro de consulta (el nombre del elemento seleccionado).Por ejemplo, si el valor es
https://us-chronicle.googleapis.com/v1alpha/projects/{project}/locations/{location}/instances/{instance}/dataTables?pageSize=1000, la raíz de la API excluye/dataTables?pageSize=1000y eshttps://us-chronicle.googleapis.com/v1alpha/projects/{project}/locations/{location}/instances/{instance}.
Requisitos de credenciales para la API de Chronicle
El acceso a la API de Chronicle requiere una nueva raíz de API y nuevas credenciales, que dependen de cómo se administra tu proyecto Google Cloud subyacente:
| Tipo de proyecto | Requisito de credencial |
|---|---|
| Implementación unificada de SecOps: Proyecto administrado por Google (predeterminado) | Comunícate con el equipo de asistencia de Google para aprovisionar las credenciales ocultas necesarias y otorgar permisos a tu entorno. |
| Implementación de SOAR independiente: Trae tu propio proyecto (BYOP) | Debes configurar manualmente una cuenta de servicio dedicada en tu proyecto
con una
clave JSON o una
identidad para cargas de trabajo, y
asignar el rol Chronicle API Editor. |
Autenticación con una clave JSON de cuenta de servicio
La autenticación con una clave JSON de cuenta de servicio es compatible con la API de Chronicle y es obligatoria para los usuarios de BYOP que no eligen Workload Identity.
Crea una cuenta de servicio específica y crea tu clave JSON
Para la autenticación con una clave JSON de cuenta de servicio, completa los siguientes pasos para crear tu clave JSON:
En la consola de Google Cloud , ve a IAM y administración > Cuentas de servicio.
Selecciona Crear cuenta de servicio y sigue las instrucciones.
Selecciona la dirección de correo electrónico de la nueva cuenta de servicio y ve a Claves > Agregar clave > Crear clave nueva.
Selecciona
JSONcomo el tipo de clave y haz clic en Crear. Se descargará un archivo de claves JSON en tu computadora.
API de Chronicle: Rol requerido para tu cuenta de servicio
Cuando usas la API de Chronicle, tu cuenta de servicio requiere el rol de Chronicle API Editor.
En la consola de Google Cloud , ve a APIs y servicios > Credenciales.
En Cuentas de servicio, selecciona tu cuenta de servicio y haz clic en Permisos > Administrar acceso.
Haz clic en AgregarAgregar rol y selecciona el rol
Chronicle API Editor. Haz clic en Guardar.
Autenticación con Workload Identity (recomendado)
La autenticación con Workload Identity es el método recomendado y más seguro.
Para configurar la autenticación con Workload Identity, sigue estos pasos:
Crea una cuenta de servicio
Para crear una cuenta de servicio, completa los siguientes pasos:
En la consola de Google Cloud , ve a la página Credenciales.
En el menú Crear credenciales, selecciona Cuenta de servicio.
En Detalles de la cuenta de servicio, ingresa un nombre en el campo Nombre de la cuenta de servicio.
Opcional: Edita el ID de la cuenta de servicio.
Haz clic en Crear y continuar. Aparecerá una pantalla de Permisos.
Haz clic en Continuar. Aparecerá una pantalla de Principales con acceso.
Haz clic en Listo.
API de Chronicle: Rol requerido para tu cuenta de servicio
Cuando usas la API de Chronicle, tu cuenta de servicio requiere el rol de Chronicle API Editor.
En la consola de Google Cloud , ve a APIs y servicios > Credenciales.
En Cuentas de servicio, selecciona tu cuenta de servicio y haz clic en Permisos > Administrar acceso.
Haz clic en AgregarAgregar rol y selecciona el rol
Chronicle API Editor. Haz clic en Guardar.
Otorga permisos de suplantación a tu instancia de Google SecOps
Para usar Workload Identity, debes otorgar permiso a tu instancia de Google SecOps para suplantar tu cuenta de servicio. Este es el paso final que permite que la instancia acceda de forma segura a los recursos de Google Cloud .
En Google SecOps, ve a Marketplace > Integraciones de respuesta.
Selecciona la integración que estás configurando y, luego, ingresa el correo electrónico de tu cuenta de servicio en el campo
Workload Identity Email.Ingresa el correo electrónico que quieres que suplante la integración en el campo
Delegated Email.Haz clic en Guardar > Prueba. Se espera que la prueba falle.
Haz clic en close_small a la derecha de Test y busca el mensaje de error para
gke-init-python@YOUR_PROJECT. Copia este correo electrónico único, que identifica tu instancia de Google SecOps.Ve a Cuentas de servicio, selecciona tu proyecto y, luego, tu cuenta de servicio.
Selecciona Principales con acceso > agregarOtorgar acceso.
En Agregar principales, pega el valor que copiaste.
En Agregar roles, selecciona el rol
Service Account Token Creator(roles/iam.serviceAccountTokenCreator).
Soluciona problemas de conectividad con la API de Chronicle
Si tienes problemas para conectar tu integración a la API de Chronicle, sigue estos pasos para solucionar problemas de configuración y resolver problemas de credenciales:
- Busca la raíz de la API de Chronicle y asegúrate de que se haya ingresado correctamente en la configuración de la integración.
- Asegúrate de que todos los demás parámetros de configuración obligatorios se completen con precisión.
Prueba la conexión. Si la prueba tiene éxito, no se requieren pasos adicionales. Si la prueba falla, continúa con el paso siguiente.
Verifica la propiedad y las credenciales del proyecto Google Cloud :
- Proyecto administrado por Google: Si tu proyecto Google Cloud está administrado porGoogle (implementación predeterminada), comunícate con el Atención al cliente de Google para obtener ayuda con los problemas relacionados con las credenciales.
- Bring Your Own Project (BYOP): Si tu proyecto Google Cloud es autoadministrado (BYOP), verifica que hayas configurado manualmente una cuenta de servicio y que le hayas asignado los roles adecuados.
Parámetros de integración
La integración de Google Chronicle requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
UI Root |
Obligatorio. Es la URL base de la interfaz de SIEM de Google SecOps. Se usa para generar automáticamente vínculos directos a la plataforma del SIEM desde los registros de casos. El valor predeterminado es |
API Root |
Obligatorio. Es la raíz de la API de tu instancia de SIEM de Google SecOps. El valor depende del método de autenticación:
|
User's Service Account |
Es opcional. Es el contenido completo del archivo de claves JSON de la cuenta de servicio. Si no se configuran este parámetro y los parámetros de Para usar la API de Chronicle, debes proporcionar este campo o |
Workload Identity Email |
Es opcional. Es la dirección de correo electrónico del cliente de tu federación de identidades para cargas de trabajo. Este parámetro tiene prioridad sobre el archivo de clave Para usar la federación de identidades para cargas de trabajo, debes otorgar el rol |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor SIEM de Google SecOps. Está habilitada de forma predeterminada. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes de Tu escritorio y Cómo realizar una acción manual.
Agregar entrada a la lista
Usa la acción Add Entry To Watchlist para agregar una entidad especificada a una lista de vigilancia de Risk Analytics existente en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Add Entry To Watchlist requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Watchlist Name |
Obligatorio. Es el nombre de la lista de vigilancia de Risk Analytics a la que se agregará la entrada. |
Entry |
Obligatorio. Objeto JSON que representa la entidad que se agregará a la lista de vigilancia. La estructura JSON requiere el valor de la entidad, el tipo de entidad y un espacio de nombres opcional. El valor predeterminado es el siguiente:
[
{
"entity": "",
"type": "ASSET_IP_ADDRESS/MAC/HOSTNAME/PRODUCT_SPECIFIC_ID/USERNAME/EMAIL/EMPLOYEE_ID/WINDOWS_SID/PRODUCT_OBJECT_ID",
"namespace": "Optional"
}
]
|
Resultados de la acción
La acción Add Entry To Watchlist proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Add Entry To Watchlist:
[
{
"namespace": "Yuriy",
"asset": {
"hostname": "koko"
}
},
{
"namespace": "Yuriy",
"asset": {
"hostname": "koko"
}
}
]
Mensajes de salida
La acción Add Entry To Watchlist puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Add Entry To Watchlist". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Add Entry To Watchlist:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Agregar filas a la tabla de datos
Usa la acción Add Rows To Data Table para agregar filas a una tabla de datos en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Data Table Name |
Obligatorio. Es el nombre visible de la tabla de datos que se actualizará. |
Rows |
Obligatorio. Es una lista de objetos JSON que contiene información sobre las filas que se agregarán. Por ejemplo:
{
"columnName1": "value1",
"columnName2": "value2"
}
|
Resultados de la acción
La acción Add Rows To Data Table proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Estadísticas de la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra un resultado JSON de muestra que devuelve la acción Add Rows To Data Table:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
}
}
Mensajes de salida
La acción Add Rows To Data Table proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully added rows to the data table
DATA_TABLE_NAME in
Google SecOps. |
La acción se completó correctamente. |
Error executing action "Add Rows to Data Table". Reason:
ERROR_REASON |
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Add Rows To Data Table:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Agregar valores a la lista de referencia
Usa la acción Add Values To Reference List para agregar valores a una lista de referencia en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Reference List Name |
Obligatorio. Es el nombre de la lista de referencia que se actualizará. |
Values |
Obligatorio. Es una lista de valores separados por comas que se agregarán a la lista de referencia. |
Resultados de la acción
La acción Add Value To Reference List proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Estadísticas de la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Add Value To Reference List con la API de Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Add Value To Reference List con la API de Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_NAME",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Mensajes de salida
La acción Add Values To Reference List proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully added values to the reference list
REFERENCE_LIST_NAME. |
La acción se completó correctamente. |
Error executing action "Add Values To Reference List". Reason:
ERROR_REASON |
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Add Values To Reference List:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Preguntarle a Gemini
Usa la acción Preguntarle a Gemini para enviar una instrucción de texto a Gemini en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Para configurar la acción, usa los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Automatic Opt-in |
Es opcional. Si se selecciona, el manual se habilita automáticamente para la conversación de Gemini del usuario sin necesidad de confirmación manual. Está habilitada de forma predeterminada. |
Prompt |
Obligatorio. Es la instrucción o pregunta de texto inicial que se envía a Gemini. |
Resultados de la acción
La acción Pregúntale a Gemini proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Estadísticas de la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Ask Gemini:
{
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/users/me/conversations/db3b0fc2-94f8-42ae-b743-c3693f593269/messages/b58e3186-e697-4400-9da8-8ef252a20bd9",
"input": {
"body": "Is IP 159.138.84.217 malicious? What can you tell me about it?"
},
"responses": [
{
"blocks": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<p>The IP address 159.138.84.217 is associated with malware and threat actors.</p>\n<ul>\n<li>It is an IPv4 indicator.</li>\n<li>It is associated with BEACON malware.</li>\n<li>It is categorized as malware-Backdoor.</li>\n<li>It has a low confidence, high severity threat rating.</li>\n<li>VirusTotal's IP Address Report indicates the network for this IP is 159.138.80.0/20, and the IP is associated with HUAWEI CLOUDS in Singapore.</li>\n<li>VirusTotal's last analysis on April 22, 2025, showed 8 malicious detections out of 94 sources.</li>\n</ul>\n<p>I might have more details for a question with more context (e.g., what is the source of the IP, what type of network traffic is associated with the IP).</p>\n"
}
}
],
"references": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<ol>\n<li><a href=\"https://advantage.mandiant.com/indicator/ipv4/159.138.84.217\" target=\"_blank\">Mandiant - indicator - 159.138.84.217</a></li>\n</ol>\n"
}
}
],
"groundings": [
"IP address 159.138.84.217 malicious cybersecurity",
"IP address 159.138.84.217 threat intelligence"
]
}
],
"createTime": "2025-05-16T11:31:36.660538Z"
}
}
Mensajes de salida
La acción Pregúntale a Gemini proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully executed a prompt in Google SecOps. |
La acción se completó correctamente. |
Error executing action "GoogleChronicle - Ask Gemini".
Reason: ERROR_REASON |
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ask Gemini:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enrich Domain (obsoleto)
Usa la acción Enrich Domain para enriquecer los dominios con información de los IOC en el SIEM de Google SecOps.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
URLHostname
Entradas de acción
La acción Enrich Domain requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Create Insight |
Si se selecciona, la acción creará una estadística que contendrá información sobre las entidades. Está habilitada de forma predeterminada. |
Only Suspicious Insight |
Si se selecciona, la acción solo creará una estadística para las entidades marcadas como sospechosas. No está habilitado de forma predeterminada. Si seleccionas este parámetro, también debes seleccionar |
Lowest Suspicious Severity |
Obligatorio. Es la gravedad más baja asociada con el dominio que se necesita para marcarlo como sospechoso. El valor predeterminado es
|
Mark Suspicious N/A Severity |
Obligatorio. Si se selecciona esta opción y no hay información disponible sobre la gravedad, la acción marca la entidad como sospechosa. |
Resultados de la acción
La acción Enrich Domain proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | Disponible |
| Estadísticas de la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
La acción Enrich Domain proporciona la siguiente tabla:
Nombre: ENTITY_IDENTIFIER
Columnas:
- Origen
- Gravedad
- Categoría
- Confianza
Enriquecimiento de entidades
La acción Enrich Domain admite la siguiente lógica de enriquecimiento de entidades:
| Campo de enriquecimiento | Lógica (cuándo aplicar) |
|---|---|
severity |
Cuando está disponible en JSON |
average_confidence |
Cuando está disponible en JSON |
related_domains |
Cuando está disponible en JSON |
categories |
Cuando está disponible en JSON |
sources |
Cuando está disponible en JSON |
first_seen |
Cuando está disponible en JSON |
last_seen |
Cuando está disponible en JSON |
report_link |
Cuando está disponible en JSON |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Enrich Domain con la API de Backstory:
{
{
"sources": [
{
"source": "ET Intelligence Rep List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Enrich Domain con la API de Chronicle:
[
{
"Entity": "example.com",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
},
{
"category": "Phishing",
"firstActiveTime": null,
"lastActiveTime": "2020-11-27T14:31:37Z",
"addresses": [
{
"domain": "example.com"
},
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "high",
"confidenceScore": {
"strRawConfidenceScore": "high"
}
},
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
},
{
"metadata": {
"title": "ESET Threat Intelligence",
"description": "ESET Threat Intelligence"
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Phishing",
"activeTimerange": {
"end": "2020-11-27T14:31:37Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "High",
"rawSeverity": "High"
}
]
},
{
"metadata": {
"title": "Mandiant Active Breach Intelligence",
"description": "Mandiant Active Breach IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
}
]
}
}
]
Mensajes de salida
La acción Enrich Domain proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully enriched the following domain in Google Chronicle:
LIST_OF_IDS |
La acción se completó correctamente. |
Error executing action "Enrich Domain". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Enrich Domain:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enriquece entidades
Usa la acción Enrich Entities para consultar Google SecOps y obtener contexto y atributos adicionales para los tipos de entidades especificados. Esta acción mejora los datos de investigación de amenazas integrando información externa.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressURL(extrae el dominio de la URL)UserEmail(entidad de usuario con regex de correo electrónico)
Entradas de acción
La acción Enrich Entities requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Namespace |
Es opcional. Es la agrupación lógica o el alcance de las entidades que se enriquecerán. Si no se selecciona, el enriquecimiento se aplica a las entidades en el espacio de nombres predeterminado o en todos los espacios de nombres accesibles. Las entidades deben pertenecer a este espacio de nombres para poder procesarse. |
Time Frame |
Es opcional. Es un período relativo (por ejemplo, Este parámetro tiene prioridad sobre |
Start Time |
Es opcional. Es la hora de inicio del período de enriquecimiento en formato ISO 8601. Úsalo con |
End Time |
Es opcional. Es la hora de finalización absoluta del período de enriquecimiento en formato ISO 8601. Se usa con |
Resultados de la acción
La acción Enrich Entities proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
| Campo de enriquecimiento | Fuente (clave JSON) | Aplicabilidad |
|---|---|---|
GoogleSecOps_related_entities |
La cantidad de related_entities | Cuando está disponible en el resultado JSON. |
GoogleSecOps_alert_count_ruleName |
{alertCounts.count} para cada regla específica | Cuando está disponible en el resultado JSON. |
GoogleSecOps_first_seen |
metric.firstSeen |
Cuando está disponible en el resultado JSON. |
GoogleSecOps_last_seen |
metric.lastSeen |
Cuando está disponible en el resultado JSON. |
GoogleSecOps_flattened_key_under_entity |
Es el valor de la clave, aplanado desde la estructura anidada en el objeto "entity". |
Cuando está disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Enrich Entities:
[
{
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"domain": {
"name": "markossolomon.com",
"firstSeenTime": "1970-01-01T00:00:00Z",
"lastSeenTime": "1970-01-01T00:00:00Z",
"registrar": "NameCheap, Inc.",
"creationTime": "2013-12-06T02:41:09Z",
"updateTime": "2019-11-06T11:48:33Z",
"expirationTime": "2020-12-06T02:41:09Z",
"registrant": {
"userDisplayName": "WhoisGuard Protected",
"emailAddresses": [
"58d09cb5035042e9920408f8bafd0869.protect@whoisguard.com"
],
"personalAddress": { "countryOrRegion": "PANAMA" },
"companyName": "WhoisGuard, Inc."
}
}
}
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "npatni-sysops",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "npatni-sysops" }
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "329" },
{ "rule": "rule_testbucket", "count": "339" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "332" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 1000 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "exlab2019-ad",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "exlab2019-ad" }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.30.202.229",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "ip": ["172.30.202.229"] }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.17.0.1",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": { "namespace": "Yuriy", "asset": { "ip": ["172.17.0.1"] } },
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
}
},
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "911d039e71583a07320b32bde22f8e22",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"file": {
"sha256": "bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527",
"md5": "911d039e71583a07320b32bde22f8e22",
"sha1": "ded8fd7f36417f66eb6ada10e0c0d7c0022986e9",
"size": "278528",
"fileType": "FILE_TYPE_PE_EXE",
"names": [
"C:\\Windows\\System32\\cmd.exe",
"cmd",
"Cmd.Exe",
"C:\\Windows\\system32\\cmd.exe",
"C:\\Windows\\SYSTEM32\\cmd.exe",
"cmd.exe",
"C:\\\\Windows\\\\System32\\\\cmd.exe",
"C:\\windows\\SYSTEM32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\wjxpour4.d0f\\cmd.exe",
"c:\\Windows\\System32\\cmd.exe",
"Utilman.exe",
"c:\\windows\\system32\\cmd.exe",
"System32/cmd.exe",
"UtilityVM/Files/Windows/System32/cmd.exe",
"KerishDoctor/Data/KerishDoctor/Restore/cmd.rst",
"cmd.exe_",
"C:\\WINDOWS\\SYSTEM32\\cmd.exe",
"Cmd.exe",
"Windows/System32/cmd.exe",
"sethc.exe",
"C:\\WINDOWS\\System32\\cmd.exe",
"esRzqurX.exe",
"rofl.png",
"F:\\Windows\\SYSTEM32\\cmd.exe",
"utilman.exe",
"C:\\Windows\\system32\\CMD.exe",
"sys32exe/cmd.exe",
"cmd.txt",
"C:\\WINDOWS\\system32\\cmd.exe",
"cmd2.exe",
"Utilman.exe.sc",
"uhrHRIv8.exe",
"C:\\windows\\system32\\cmd.exe",
"submitted_file",
"C:\\Users\\user\\AppData\\Local\\Temp\\n1qo0bq3.2tn\\KerishDoctor\\Data\\KerishDoctor\\Restore\\cmd.rst",
"J6ff7z0hLYo.exe",
"N:\\Windows\\System32\\cmd.exe",
"Q:\\Windows\\System32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\cmd.exe",
"C:\\Users\\<USER>\\AppData\\Local\\Temp\\cmd.exe",
"test.exe",
"68E2F01F8DE9EFCAE9C0DD893DF0E8C34E2B5C98A6C4073C9C9E8093743D318600.blob",
"8FCVE0Kq.exe",
"cmd (7).exe",
"cmd (8).exe",
"21455_16499564_bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527_cmd.exe",
"LinX v0.9.11 (Intel)/cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\inbvmkaa.1xd\\LinX v0.9.11 (Intel)\\cmd.exe",
"cmd_b.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\sfd5bhoe.nqi\\cmd.exe",
"cMd.exe",
"Repl_Check.bat__",
"cmd.pdf",
"cmd.EXE",
"C:\\Users\\user\\AppData\\Local\\Temp\\uszjr42t.kda\\cmd.exe",
"LFepc1St.exe",
"firefox.exe",
"3BcnNlWV.exe",
"Utilman.exebak",
"utilman1.exe",
"1.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\ispvscgp.ep2\\sys32exe\\cmd.exe",
"cmd_1771019736291028992.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\xijgwqvd.54g\\cmd.exe",
"Sethc.exe",
"\\Device\\CdRom1\\DANFE352023067616112\\DANFE352023067616112.EXE",
"DANFE352023067616112.exe",
"file.exe",
"DANFE352023067616112/DANFE352023067616112.exe",
"C:\\Windows\\SYSTEM32\\Cmd.exe",
"pippo.exe",
"C:\\Windows\\System32\\sethc.exe",
"cmd.exe-bws024-windowsfolder",
"whatever.exe",
"sethc.exe.bak",
"S71dbOR1.exe",
"F:\\windows\\SYSTEM32\\cmd.exe",
"L6puhWL7.exe",
"DANFE357986551413927.exe",
"DANFE357666506667634.exe",
"\\Device\\CdRom1\\DANFE357666506667634\\DANFE357666506667634.EXE",
"\\Device\\CdRom1\\DANFE357986551413927\\DANFE357986551413927.EXE",
"\\Device\\CdRom1\\DANFE358567378531506\\DANFE358567378531506.EXE",
"\\Device\\CdRom1\\HtmlFactura3f48daa069f0e42253194ca7b51e7481DPCYKJ4Ojk\\HTMLFACTURA3F48DAA069F0E42253194CA7B51E7481DPCYKJ4OJK.EXE",
"\\Device\\CdRom1\\DANFE357410790837014\\DANFE357410790837014.EXE",
"\\Device\\CdRom1\\DANFE357702036539112\\DANFE357702036539112.EXE",
"winlogon.exe",
"AccessibilityEscalation.A' in file 'utilman.exe'",
"qpl9AqT0.exe",
"C:\\windows\\system32\\CMD.exe",
"C:\\po8az\\2po9hmc\\4v1b5.exe",
"batya.exe",
"nqAwJaba.exe",
"\\Device\\CdRom1\\DANFE356907191810758\\DANFE356907191810758.EXE",
"/Volumes/10_11_2023/DANFE356907191810758/DANFE356907191810758.exe",
"/Volumes/09_21_2023/DANFE357986551413927/DANFE357986551413927.exe",
"\\Device\\CdRom1\\DANFE355460800350113\\DANFE355460800350113.EXE",
"/Volumes/09_19_2023/DANFE355460800350113/DANFE355460800350113.exe",
"DANFE352429512050669.exe",
"/Volumes/04_15_2023/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3.exe"
],
"firstSeenTime": "2024-12-15T09:07:02Z",
"lastSeenTime": "2025-07-18T07:43:59.045Z",
"lastAnalysisTime": "2025-07-16T10:06:40Z",
"signatureInfo": {
"sigcheck": {
"verificationMessage": "Signed",
"verified": true,
"signers": [{ "name": "Microsoft Windows" }]
}
},
"firstSubmissionTime": "2025-07-15T16:30:27Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "329" },
{ "rule": "rule_testbucket", "count": "345" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "326" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{ "alertCount": 31 },
{ "alertCount": 111 },
{ "alertCount": 109 },
{ "alertCount": 82 },
{ "alertCount": 86 },
{ "alertCount": 98 },
{ "alertCount": 86 },
{ "alertCount": 85 },
{ "alertCount": 92 },
{ "alertCount": 89 },
{ "alertCount": 90 },
{ "alertCount": 41 }
],
"bucketSize": "172800s"
},
"prevalenceResult": [
{ "prevalenceTime": "2025-01-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-16T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-17T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-18T00:00:00Z", "count": 2 }
],
"relatedEntities": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiFQoGCPbso7wGEgsIv_bnwwYQwMq6FQ",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"hostname": "exlab2019-ad",
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIVCgYI9uyjvAYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"ip": ["172.30.202.229"],
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
}
]
}
},
{
"Entity": "tencent.com",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"domain": {
"name": "tencent.com",
"firstSeenTime": "2025-01-14T14:01:00Z",
"lastSeenTime": "2025-01-14T15:02:00Z",
"registrar": "MarkMonitor Information Technology (Shanghai) Co., Ltd.",
"creationTime": "1998-09-14T04:00:00Z",
"updateTime": "2024-08-20T08:04:01Z",
"expirationTime": "2032-09-13T04:00:00Z",
"registrant": {
"emailAddresses": [""],
"personalAddress": { "countryOrRegion": "CHINA" },
"companyName": "\u6df1\u5733\u5e02\u817e\u8baf\u8ba1\u7b97\u673a\u7cfb\u7edf\u6709\u9650\u516c\u53f8"
}
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "00:50:56:b6:34:86",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "mac": ["00:50:56:b6:34:86"] }
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
}
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
}
]
Mensajes de salida
La acción Enrich Entities puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado del script cuando se usa la acción Enrich Entities:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enrich IP (dejó de estar disponible)
Usa la acción Enrich IP para enriquecer las entidades de IP con información de los IOC en el SIEM de Google SecOps.
Esta acción se ejecuta en la entidad "Dirección IP".
Entradas de acción
La acción Enrich IP requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Create Insight |
Es opcional. Si se selecciona, la acción crea una estadística que contiene información sobre entidades.Está habilitada de forma predeterminada. |
Only Suspicious Insight |
Es opcional. Si se selecciona, la acción crea estadísticas solo para las entidades marcadas como sospechosas.No está habilitado de forma predeterminada. Si seleccionas este parámetro, también debes seleccionar |
Lowest Suspicious Severity |
Obligatorio. Es la gravedad más baja asociada a la dirección IP para marcarla como sospechosa. El valor predeterminado es
|
Mark Suspicious N/A Severity |
Obligatorio. Si se selecciona esta opción y no hay información disponible sobre la gravedad, la acción marca la entidad como sospechosa. |
Resultados de la acción
La acción Enrich IP proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
Nombre: ENTITY_IDENTIFIER
Columnas:
- Origen
- Gravedad
- Categoría
- Confianza
- Dominios relacionados
Enriquecimiento de entidades
La acción Enrich IP admite la siguiente lógica de enriquecimiento de entidades:
| Campo de enriquecimiento | Lógica (cuándo aplicar) |
|---|---|
severity |
Cuando está disponible en JSON |
average_confidence |
Cuando está disponible en JSON |
related_domains |
Cuando está disponible en JSON |
categories |
Cuando está disponible en JSON |
sources |
Cuando está disponible en JSON |
first_seen |
Cuando está disponible en JSON |
last_seen |
Cuando está disponible en JSON |
report_link |
Cuando está disponible en JSON |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Enrich IP con la API de Backstory:
{
{
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
En el siguiente ejemplo, se describe el resultado de JSON que se recibe cuando se usa la acción Enrich IP con la API de Chronicle:
[
{
"Entity": "192.0.2.121",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "low",
"confidenceScore": {
"strRawConfidenceScore": "67"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "67",
"rawSeverity": "Low"
}
]
}
]
}
}
]
Mensajes de salida
La acción Enrich IP proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully enriched the following IPs from Google Chronicle:
LIST_OF_IPS |
La acción se completó correctamente. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Enrich IP:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ejecutar RetroHunt
Usa la acción Ejecutar búsqueda retroactiva para ejecutar una búsqueda retroactiva de reglas en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Ejecutar Retrohunt requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Rule ID |
Obligatorio. Es el ID de la regla para la que se ejecutará una RetroHunt. Usa el formato |
Time Frame |
Es opcional. Es un período para recuperar los resultados. Los valores posibles son los siguientes:
Si se selecciona El valor predeterminado es |
Start Time |
Es la hora de inicio de los resultados en formato ISO 8601. Este parámetro es obligatorio si el parámetro |
End Time |
Es la hora de finalización de los resultados en formato ISO 8601.
Si no estableces un valor y seleccionas el valor |
Resultados de la acción
La acción Ejecutar Retrohunt proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Estadísticas de la entidad | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Ejecutar búsqueda retroactiva con la API de Backstory:
{
"retrohuntId": "oh_d738c8ea-8fd7-4cc1-b43d-25835b8e1785",
"ruleId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497",
"versionId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497@v_1612472807_179679000",
"eventStartTime": "2021-01-14T23:00:00Z",
"eventEndTime": "2021-01-30T23:00:00Z",
"retrohuntStartTime": "2021-02-08T02:40:59.192113Z",
"state": "RUNNING"
}
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Ejecutar búsqueda retroactiva con la API de Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/RetrohuntMetadata",
"retrohunt": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID/retrohunts/RETROHUNT_ID",
"executionInterval": {
"startTime": "2025-01-22T12:16:20.963182Z",
"endTime": "2025-01-23T12:16:20.963182Z"
}
},
"retrohuntId": "RETROHUNT_ID",
"ruleId": "RULE_ID",
"versionId": "VERSION_ID",
"eventStartTime": "2025-01-22T12:16:20.963182Z",
"eventEndTime": "2025-01-23T12:16:20.963182Z"
}
Mensajes de salida
La acción Ejecutar Retrohunt proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully executed a retrohunt for the provided rule in Google
Chronicle.
|
La acción se completó correctamente. |
Error executing action "Execute Retrohunt". Reason:
ERROR_REASON |
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ejecutar Retrohunt:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ejecutar consulta de UDM
Usa la acción Ejecutar consulta de UDM para ejecutar una consulta de UDM personalizada en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Ejecutar consulta de UDM requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query String |
Obligatorio. Es la consulta que se ejecutará en Google SecOps. |
Time Frame |
Es opcional. Es un período para recuperar los resultados. Los valores posibles son los siguientes:
Si se selecciona El valor predeterminado es |
Start Time |
Es opcional. Es la hora de inicio de los resultados en formato ISO 8601 (por ejemplo, Este parámetro es obligatorio si el parámetro El período máximo es de 90 días. |
End Time |
Es opcional. Es la hora de finalización de los resultados en formato ISO 8601 (por ejemplo, Si no estableces un valor y el parámetro El período máximo es de 90 días. |
Max Results To Return |
Es opcional. Es la cantidad de resultados que se devolverán para una sola búsqueda. El valor máximo es El valor predeterminado es |
Resultados de la acción
La acción Ejecutar consulta de UDM proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Ejecutar consulta de UDM:
{
"events":[
"event":{
"metadata":{
"eventTimestamp":"2022-01-20T09:15:15.687Z",
"eventType":"USER_LOGIN",
"vendorName":"Example Vendor",
"productName":"Example Product",
"ingestedTimestamp":"2022-01-20T09:45:07.433587Z"
},
"principal":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.0"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
],
"location":{
"city":"San Francisco",
"state":"California",
"countryOrRegion":"US"
},
"asset":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.1",
"203.0.113.1",
"203.0.113.1"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
]
}
},
"target":{
"user":{
"userid":"Example",
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-4712406912-7108061610-2717800068-993683",
"emailAddresses":[
"example@example.com",
"admin.example@example.com"
],
"employeeId":"2406187",
"productObjectId":"f93f1540-4935-4266-aa8e-a750a319aa1c",
"firstName":"Example",
"lastName":"User",
"phoneNumbers":[
"555-01-75"
],
"title":"Executive Assistant",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
],
"managers":[
{
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-6051382818-4135626959-8120238335-834071",
"emailAddresses":[
"user@example.com"
],
"employeeId":"5478500",
"productObjectId":"8b3924d5-6157-43b3-857b-78aa6bd94705",
"firstName":"User",
"lastName":"Example",
"phoneNumbers":[
"555-01-75"
],
"title":"Chief Technology Officer",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
]
}
]
},
"ip":[
"198.51.100.1"
],
"email":"email@example.com",
"application":"Example Sign In"
},
"securityResult":[
{
"summary":"Successful Login",
"action":[
"ALLOW"
]
}
],
"extensions":{
"auth":{
"type":"SSO"
}
}
},
"eventLogToken":"96f23eb9ffaa9f7e7b0e2ff5a0d2e34c,1,1642670115687000,USER,|USER_LOGIN"
]
}
Mensajes de salida
La acción Ejecutar consulta de UDM proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Execute UDM Query". Reason:
ERROR_REASON
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Execute UDM Query". Reason: you've reached a
rate limit. Please wait for several minutes and try again. |
No se pudo realizar la acción. Espera varios minutos antes de volver a ejecutar la acción. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ejecutar consulta de UDM:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Genera una consulta de UDM
(Versión preliminar) Usa la acción Generar consulta de UDM para crear consultas de UDM complejas con instrucciones en lenguaje natural en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Generate UDM Query requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Prompt |
Obligatorio. Es la instrucción que usa el sistema para generar la consulta estructurada de UDM. |
Resultados de la acción
La acción Get Data Tables proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Generate UDM Query:
{
"query": "ip = \"10.0.0.1\""
}
Mensajes de salida
La acción Generate UDM Query proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully generated a UDM query in Google SecOps. |
La acción se completó correctamente. |
Error executing action "Generate UDM Query". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Generate UDM Query:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Obtener tablas de datos
Usa la acción Get Data Tables para recuperar las tablas de datos disponibles en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get Data Tables requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Filter Key |
Es opcional. Es la clave por la que se filtra. La opción Los valores posibles son los siguientes: NameDescription |
Filter Logic |
Es opcional. Es la lógica del filtro que se aplicará. Los valores posibles son los siguientes: Equal (para coincidencias exactas)Contains(para coincidencias de subcadenas) |
Filter Value |
Es opcional. Es el valor que se usará en el filtro. Los valores posibles son los siguientes: Equal (para coincidencias exactas)Contains(para coincidencias de subcadenas)
Si no se proporciona nada, no se aplicará el filtro. |
Expanded Rows |
Es opcional. Si se selecciona, la respuesta incluye filas detalladas de la tabla de datos. No está habilitado de forma predeterminada. |
Max Data Tables To Return |
Obligatorio. Es la cantidad de tablas de datos que se devolverán. El valor máximo es |
Max Data Table Rows To Return |
Obligatorio. Es la cantidad de filas de la tabla de datos que se devolverán. Solo usa este parámetro si El valor máximo es |
Resultados de la acción
La acción Get Data Tables proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado en formato JSON que se recibe cuando se usa la acción Get Data Tables:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table",
"displayName": "data_table",
"createTime": "2025-05-14T12:52:50.064133Z",
"updateTime": "2025-05-14T13:13:48.631442Z",
"columnInfo": [
{
"originalColumn": "columnName1",
"columnType": "STRING"
},
{
"columnIndex": 1,
"originalColumn": "columnName2",
"columnType": "STRING"
},
{
"columnIndex": 2,
"originalColumn": "columnName3",
"columnType": "STRING"
}
],
"dataTableUuid": "c3cce57bb8d940d5ac4523c37d540436",
"approximateRowCount": "2",
"rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
Mensajes de salida
La acción Get Data Tables proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully found data tables for the provided criteria in Google
SecOps |
La acción se completó correctamente. |
Error executing action "Get Data Tables". Reason:
ERROR_REASON |
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Get Data Tables:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Obtén detalles de la detección
Usa la acción Get Detection Details para recuperar información sobre una detección en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get Detection Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Rule ID |
Obligatorio. Es el ID de la regla relacionada con la detección. Usa el formato |
Detection ID |
Obligatorio. Es el ID de la detección para la que se recuperarán detalles. Si se proporcionan caracteres especiales, la acción no falla, pero devuelve una lista de detecciones. |
Resultados de la acción
La acción Get Detection Details proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado en formato JSON que se recibe cuando se usa la acción Get Detection Details:
{
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "singleEventRule2",
"urlBackToProduct":
"https://INSTANCE/ruleDetections?
ruleId=ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d&selectedList=RuleDetectionsViewTimeline&
selectedParentDetectionId=de_ce594791-09ed-9681-27fa-3b7c8fa6054c&
selectedTimestamp=2020-12-03T16: 50: 47.647245Z","ruleId": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d",
"ruleVersion": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d@v_1605892822_687503000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT"
}
],
"createdTime": "2020-12-03T19:19:21.325134Z",
"id": "de_ce594791-09ed-9681-27fa-3b7c8fa6054c",
"timeWindow": {
"startTime": "2020-12-03T16:50:47.647245Z",
"endTime": "2020-12-03T16:50:47.647245Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2020-12-03T16:50:47.647245Z",
"collectedTimestamp": "2020-12-03T16:50:47.666064010Z",
"eventType": "NETWORK_DNS",
"productName": "ProductName",
"ingestedTimestamp": "2020-12-03T16:50:49.494542Z"
},
"principal": {
"ip": [
"192.0.2.1"
]
},
"target": {
"ip": [
"203.0.113.1"
]
},
"securityResult": [
{
"action": [
"UNKNOWN_ACTION"
]
}
],
"network": {
"applicationProtocol": "DNS",
"dns": {
"questions": [
{
"name": "example.com",
"type": 1,
"class": 1
}
],
"id": 12345,
"recursionDesired": true
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2020-12-03T16:50:47.647245Z"
}
Mensajes de salida
La acción Get Detection Details proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully fetched information about the detection with ID
DETECTION_ID in Google Chronicle. |
La acción se completó correctamente. |
Error executing action "Get Detection Details". Reason:
ERROR_REASON |
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Get Detection Details:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtener listas de referencia
Usa la acción Get Reference Lists para recuperar las listas de referencia disponibles en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get Reference Lists requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Filter Key |
Es la clave por la que se filtrará.
Los valores posibles son los siguientes:
|
Filter Logic |
Es la lógica del filtro que se aplicará. Los valores posibles son los siguientes: Equal (para coincidencias exactas)Contains(para coincidencias de subcadenas)El valor predeterminado es |
Filter Value |
Es el valor que se usará en el filtro.
Los valores posibles son los siguientes: Equal (para coincidencias exactas)Contains(para coincidencias de subcadenas)
Si no se proporciona ningún valor, no se aplica el filtro. |
Expanded Details |
Si se selecciona, la acción devuelve información detallada sobre las listas de referencias.
No está habilitado de forma predeterminada. |
Max Reference Lists To Return |
Es la cantidad de listas de referencia que se devolverán.
El valor predeterminado es |
Resultados de la acción
La acción Get Reference List proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
En un muro de casos, la opción Get Reference Lists proporciona la siguiente tabla:
Nombre: Available Reference Lists
Columnas:
- Nombre
- Descripción
- Tipo
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Get Reference Lists con la API de Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Get Reference Lists con la API de Chronicle:
[
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_ID",
"displayName": "REFERENCE_LIST_ID",
"revisionCreateTime": "2025-01-09T15:53:10.851775Z",
"description": "Test reference list",
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-09T15:53:10.851775Z"
}
]
Mensajes de salida
La acción Get Reference Lists proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action
ACTION_NAME. Reason:
ERROR_REASON
|
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action
ACTION_NAME. Reason: "Invalid
value was provided for "Max Reference Lists to Return":
PROVIIDED_VALUE. Positive number should be provided. |
No se pudo realizar la acción.
Comprueba el valor del parámetro |
Secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Get Reference Lists:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén detalles de la regla
Usa la acción Get Rule Details para recuperar información sobre una regla en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get Rule Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Rule ID |
Obligatorio. Es el ID de la regla para la que se recuperarán los detalles. |
Resultados de la acción
La acción Get Rule Details proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Get Rule Details con la API de Backstory:
{
"ruleId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f",
"versionId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f@v_1602631093_146879000",
"ruleName": "SampleRule",
"metadata": {
"description": "Sample Description of the Rule",
"author": "author@example.com"
},
"ruleText": "rule SampleRule {
meta:
description = \"Sample Description of the Rule\"
author = \"author@example.com\"
events:
// This will just generate lots of detections
$event.metadata.event_type = \"NETWORK_HTTP\"
condition:
$event
} ",
"liveRuleEnabled": true,
"versionCreateTime": "2020-10-13T23:18:13.146879Z",
"compilationState": "SUCCEEDED"
}
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Get Rule Details con la API de Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID",
"revisionId": "v_1733917896_973567000",
"displayName": "Test_rule_SingleEvent",
"text": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"author": "example_user",
"metadata": {
"author": "example_user",
"description": "windowed single event example rule",
"severity": null
},
"createTime": "2024-12-11T11:36:18.192127Z",
"revisionCreateTime": "2024-12-11T11:51:36.973567Z",
"compilationState": "SUCCEEDED",
"type": "SINGLE_EVENT",
"allowedRunFrequencies": [
"LIVE",
"HOURLY",
"DAILY"
],
"etag": "CMj55boGEJjondAD",
"ruleId": "RULE_ID",
"versionId": "RULE_ID@v_1733917896_973567000",
"ruleName": "Test_rule_SingleEvent",
"ruleText": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"ruleType": "SINGLE_EVENT",
"versionCreateTime": "2024-12-11T11:51:36.973567Z"
}
Mensajes de salida
La acción Get Rule Details proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully fetched information about the rule with ID
RULE_ID in Google Chronicle.
|
La acción se completó correctamente. |
Error executing action "Get Rule Details". Reason:
ERROR_REASON
|
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Get Rule Details:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Is Value In Data Table
Usa Is Value In Data Table para verificar si los valores proporcionados se encuentran en una tabla de datos en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Is Value In Data Table requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Data Table Name |
Obligatorio. Es el nombre visible de la tabla de datos en la que se realizará la búsqueda. |
Column |
Es opcional. Es una lista de columnas separadas por comas en las que se realizará la búsqueda. Si no se proporciona ningún valor, la acción buscará en todas las columnas. |
Values |
Obligatorio. Es una lista de valores separados por comas que se deben buscar. |
Case Insensitive Search |
Es opcional. Si se selecciona, la búsqueda no distinguirá mayúsculas de minúsculas. Está habilitada de forma predeterminada. |
Max Data Table Rows To Return |
Obligatorio. Es la cantidad de filas de la tabla de datos que se devolverán por cada valor coincidente. El valor máximo es |
Resultados de la acción
La acción Is Value In Data Table proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Is Value In Data Table:
[{
"Entity": "asda",
"EntityResult": {
"is_found": true,
"matched_rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
}]
Mensajes de salida
La acción Is Value In Data Table proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully searched provided values in the data table {data table}
in Google SecOps.
|
La acción se completó correctamente. |
| Se produjo un error al ejecutar la acción "Is Value In Data Table". Motivo: ERROR_REASON | No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Is Value In Data Table". Reason: the
following data tables were not found in:
DATA_TABLE_NAME:
COLUMN_NAMES. Please check the
spelling.
|
No se pudo realizar la acción. |
Error executing action "Is Value In Data Table". Reason:
This action is not supported for Backstory API configuration. Please update
the integration configuration.
|
No se pudo realizar la acción. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Is Value In Data Table:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Is Value In Reference List
Usa la acción Is Value In Reference List para verificar si los valores proporcionados se encuentran en las listas de referencia de Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Is Value In Reference List requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Reference List Names |
Obligatorio. Es una lista separada por comas de los nombres de las listas de referencia en las que se realizará la búsqueda. |
Values |
Obligatorio. Es una lista de valores separados por comas que se deben buscar. |
Case Insensitive Search |
Es opcional. Si se selecciona, la búsqueda no distinguirá mayúsculas de minúsculas. |
Resultados de la acción
La acción Is Value In Reference List proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Is Value In Reference List con la API de Backstory:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Is Value In Reference List con la API de Chronicle:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
Mensajes de salida
La acción Is Value In Reference List proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully searched provided values in the reference lists in
Google Chronicle.
|
La acción se completó correctamente. |
| Se produjo un error al ejecutar la acción "Is Value In Reference List". Motivo: ERROR_REASON | No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Is Value In Reference List". Reason: the
following reference lists were not found in Google Chronicle:
MISSING_REFERENCE_LIST_NAME(S).
Please use the action "Get Reference Lists" to see what reference lists are
available.
|
No se pudo realizar la acción. Ejecuta la acción Get Reference Lists para verificar si hay listas disponibles. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Is Value In Reference List:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enumerar recursos
Usa la acción List Assets para enumerar los recursos en el SIEM de Google SecOps según las entidades relacionadas dentro de un período especificado.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
URLIP AddressHash
Entradas de acción
La acción List Assets requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Max Hours Backwards |
Cantidad de horas previas al momento actual para recuperar los recursos.
El valor predeterminado es |
Create Insight |
Si se selecciona, la acción crea una estadística con información sobre las entidades. Está habilitada de forma predeterminada. |
Max Assets To Return |
Es la cantidad de recursos que se devolverán. El valor predeterminado es |
Time Frame |
Es opcional. Es un período para recuperar los resultados. Los valores posibles son los siguientes:
Si se selecciona El valor predeterminado es |
Start Time |
Es la hora de inicio en formato ISO 8601. Este parámetro es obligatorio si el parámetro |
End Time |
Es la hora de finalización en formato ISO 8601.
Si no estableces un valor y configuras el parámetro |
Resultados de la acción
La acción List Assets proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
Nombre: ENTITY_IDENTIFIER
Columnas:
- Nombre de host
- Dirección IP
- Artefacto visto por primera vez
- Último artefacto visto
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción List Assets con la API de Backstory:
{
"assets": [
{
"asset": {
"hostname": "example"
},
"firstSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-02-28T09:18:15.675Z"
},
"lastSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-09-24T06:43:59Z"
}
}
],
"uri": [
"https://INSTANCE/domainResults?domain=www.example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2020-09-27T12%3A07%3A34.166830443Z"
]
}
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción List Assets con la API de Chronicle:
[
{
"Entity": "192.0.2.229",
"EntityResult": {
"assets": [
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Open Source Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2024-09-20T14:14:07.843Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Open Source Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "OPEN_SOURCE_INTEL_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "ex ",
"valueType": "DOMAIN_NAME"
}
},
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Active Breach Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2023-07-05T02:42:52.935Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Active Breach Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "MANDIANT_ACTIVE_BREACH_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "example.com",
"valueType": "DOMAIN_NAME"
}
}
],
"uri": "https://INSTANCE.backstory.chronicle.security/destinationIpResults?ADDRESS=192.0.2.229&selectedList=IpViewDistinctAssets&referenceTime=2025-01-23T11%3A16%3A24.517449Z"
}
}
]
Mensajes de salida
La acción List Assets proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully listed related assets for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
La acción se completó correctamente. |
Error executing action "List Assets". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción List Assets:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enumera eventos
Usa la acción List Events para enumerar los eventos de un activo en particular dentro de un período especificado.
Esta acción solo puede recuperar 10,000 eventos.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
IP addressMAC addressHostname
Entradas de acción
La acción List Events requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Event Types |
Es una lista de tipos de eventos separados por comas.
Si no se proporciona ningún valor, se recuperan todos los tipos de eventos. Para obtener una lista de todos los valores posibles, consulta Valores posibles del tipo de evento. |
Time Frame |
Es el período especificado. Te recomendamos que lo mantengas lo más pequeño posible para obtener mejores resultados.
Si se selecciona Si se selecciona Los valores posibles son los siguientes:
El valor predeterminado es |
Start Time |
Es la hora de inicio en formato ISO 8601. Este parámetro es obligatorio si el parámetro |
End Time |
Es la hora de finalización en formato ISO 8601. Si no se proporciona ningún valor y el parámetro Este parámetro acepta el valor |
Reference Time |
Es la hora de referencia para la búsqueda de eventos.
Si no se proporciona ningún valor, la acción usa la hora de finalización como referencia. |
Output |
Obligatorio. Es el formato de salida. Los valores posibles son los siguientes:
|
Max Events To Return |
Es la cantidad de eventos que se procesarán para cada tipo de entidad. El valor predeterminado es |
Valores posibles del tipo de evento
Los valores posibles para el parámetro Event Type son los siguientes:
EVENTTYPE_UNSPECIFIEDPROCESS_UNCATEGORIZEDPROCESS_LAUNCHPROCESS_INJECTIONPROCESS_PRIVILEGE_ESCALATIONPROCESS_TERMINATIONPROCESS_OPENPROCESS_MODULE_LOADREGISTRY_UNCATEGORIZEDREGISTRY_CREATIONREGISTRY_MODIFICATIONREGISTRY_DELETIONSETTING_UNCATEGORIZEDSETTING_CREATIONSETTING_MODIFICATIONSETTING_DELETIONMUTEX_UNCATEGORIZEDMUTEX_CREATIONFILE_UNCATEGORIZEDFILE_CREATIONFILE_DELETIONFILE_MODIFICATIONFILE_READFILE_COPYFILE_OPENFILE_MOVEFILE_SYNCUSER_UNCATEGORIZEDUSER_LOGINUSER_LOGOUTUSER_CREATIONUSER_CHANGE_PASSWORDUSER_CHANGE_PERMISSIONSUSER_STATSUSER_BADGE_INUSER_DELETIONUSER_RESOURCE_CREATIONUSER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_UPDATE_PERMISSIONSUSER_COMMUNICATIONUSER_RESOURCE_ACCESSUSER_RESOURCE_DELETIONGROUP_UNCATEGORIZEDGROUP_CREATIONGROUP_DELETIONGROUP_MODIFICATIONEMAIL_UNCATEGORIZEDEMAIL_TRANSACTIONEMAIL_URL_CLICKNETWORK_UNCATEGORIZEDNETWORK_FLOWNETWORK_CONNECTIONNETWORK_FTPNETWORK_DHCPNETWORK_DNSNETWORK_HTTPNETWORK_SMTPSTATUS_UNCATEGORIZEDSTATUS_HEARTBEATSTATUS_STARTUPSTATUS_SHUTDOWNSTATUS_UPDATESCAN_UNCATEGORIZEDSCAN_FILESCAN_PROCESS_BEHAVIORSSCAN_PROCESSSCAN_HOSTSCAN_VULN_HOSTSCAN_VULN_NETWORKSCAN_NETWORKSCHEDULED_TASK_UNCATEGORIZEDSCHEDULED_TASK_CREATIONSCHEDULED_TASK_DELETIONSCHEDULED_TASK_ENABLESCHEDULED_TASK_DISABLESCHEDULED_TASK_MODIFICATIONSYSTEM_AUDIT_LOG_UNCATEGORIZEDSYSTEM_AUDIT_LOG_WIPESERVICE_UNSPECIFIEDSERVICE_CREATIONSERVICE_DELETIONSERVICE_STARTSERVICE_STOPSERVICE_MODIFICATIONGENERIC_EVENTRESOURCE_CREATIONRESOURCE_DELETIONRESOURCE_PERMISSIONS_CHANGERESOURCE_READRESOURCE_WRITTENANALYST_UPDATE_VERDICTANALYST_UPDATE_REPUTATIONANALYST_UPDATE_SEVERITY_SCOREANALYST_UPDATE_STATUSANALYST_ADD_COMMENT
Resultados de la acción
La acción List Events proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado en JSON que se recibe cuando se usa la acción List Events:
{
"statistics": {
"NETWORK_CONNECTION": 10
}
{
"events": [
{
"metadata": {
"eventTimestamp": "2020-09-28T14:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
},
{
"metadata": {
"eventTimestamp": "2020-09-28T17:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
}
],
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=user-example-pc&referenceTime=2020-09-28T17%3A00%3A00Z&selectedList=AssetViewTimeline&startTime=2020-09-28T14%3A20%3A00Z&endTime=2020-09-28T20%3A20%3A00Z"
]
}
}
Mensajes de salida
La acción List Events proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully listed related events for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
La acción se completó correctamente. |
Error executing action "List Events". Reason:
ERROR_REASON
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "List Events". Reason: invalid event type
is provided. Please check the spelling. Supported event types:
SUPPORTED_EVENT_TYPES
|
No se pudo realizar la acción.
Verifica la ortografía. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción List Events:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enumera los IOC
Usa la acción List IOCs para enumerar todos los IoC descubiertos en tu empresa dentro de un período especificado.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción List IOCs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Start Time |
Es la hora de inicio de los resultados en formato ISO 8601. |
Max IoCs to Fetch |
Es la cantidad máxima de IoCs que se devolverán.
El rango es de El valor predeterminado es |
Resultados de la acción
La acción List IOCs proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
Columnas:
- Dominio
- Categoría
- Origen
- Confianza
- Gravedad
- Tiempo de transferencia de IoC
- Fecha y hora de detección del IoC
- Fecha y hora de la última detección del IoC
- URI
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción List IOCs:
{
"matches":[
{
"artifact":{
"domainName":"www.example.com"
},
"firstSeenTime":"2018-05-25T20:47:11.048998Z",
"iocIngestTime":"2019-08-14T21:00:00Z",
"lastSeenTime":"2019-10-24T16:19:46.880830Z",
"sources":[
{
"category":"Spyware Reporting Server",
"confidenceScore":{
"intRawConfidenceScore":0,
"normalizedConfidenceScore":"Low"
},
"rawSeverity":"Medium",
"source":"Example List"
}
],
"uri":["URI"]
}
],
"moreDataAvailable":true
}
Mensajes de salida
La acción List IOCs proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully listed IOCs from the provided timeframe in Google
Chronicle. |
La acción se completó correctamente. |
Error executing action "List IOCs". Reason:
ERROR_REASON.
|
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción List IOCs:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Buscar alertas similares
Usa la acción Lookup Similar Alerts para buscar alertas similares en Google SecOps.
Entradas de acción
La acción Lookup Similar Alerts requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Time Frame |
Es el período para el que se muestran los resultados. Para obtener los mejores resultados, mantén el período lo más acotado posible.
Los valores posibles son los siguientes:
|
IOCs / Assets |
Obligatorio. Es una lista separada por comas de los IoC o los activos que se deben buscar en las alertas. La acción realiza una búsqueda independiente para cada elemento proporcionado. |
Similarity By |
Son los atributos que se usan para encontrar alertas similares. Los valores posibles son los siguientes:
El valor predeterminado es |
Cómo funciona el parámetro de similitud
El parámetro Similarity By se aplica de manera diferente a las alertas de reglas y a las alertas externas.
Si se selecciona
Alert Name, Alert Type and ProductoAlert Name, Alert Type, haz lo siguiente:En el caso de las alertas externas, la acción busca otras alertas externas que tengan el mismo nombre.
En el caso de las alertas de reglas, la acción procesa las alertas que se originaron a partir de la misma regla.
Si seleccionas
Product, haz lo siguiente:- La acción procesa las alertas que se originaron en el mismo producto, independientemente de si son alertas de regla o externas.
Por ejemplo, una alerta que se origina en Crowdstrike solo se correlacionará con otras alertas de Crowdstrike.
Si seleccionas
Only IOCs/Assets, haz lo siguiente:La acción coincide con las alertas según los IOC proporcionados en el parámetro
IOCs/Assets. Busca estos indicadores en las alertas de reglas y las alertas externas.Una alerta de IOC solo puede ejecutar esta acción cuando se selecciona esta opción. Si se proporciona cualquier otra opción, la acción se establece de forma predeterminada en
Only IOCs/Assets.
La acción Buscar alertas similares es una herramienta versátil para analizar alertas. Permite a los analistas correlacionar alertas del mismo período y extraer IOC relevantes para determinar si un incidente es un positivo verdadero.
Resultados de la acción
La acción Buscar alertas similares proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | Disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Vínculo al muro de casos
La acción Buscar alertas similares puede devolver los siguientes vínculos:
- CBN: GENERATED_LINK_BASED_ON_IU_ROOT_URL
- Regla: GENERATED_LINK_BASED_ON_IU_ROOT_URL
Tabla del muro de casos
Nombre de la tabla: IOC/ASSET_IDENTIFIER
Columnas de la tabla:
- Producto
- Nombres de host
- IPs
- Usuarios
- Direcciones de correo electrónico
- Temas
- URLs
- Hashes
- Procesos
- Visto por primera vez
- Visto por última vez
- Nombre de la alerta
- General
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Buscar alertas similares:
{
"count": 123,
"distinct": [
{
"first_seen": "time of the first alert that matched our conditions",
"last_seen": "time of the last alert that matched our conditions",
"product_name": "product name",
"used_ioc_asset": "what user provided in the parameter IOCs and Assets",
"name": "Alert Name/Rule Name",
"hostnames": "csv list of unique hostnames that were found in alerts",
"urls": "csv list of unique urls that were found in alerts",
"ips": "csv list of unique ips that were found in alerts",
"subjects": "csv list of unique subjects that were found in alerts",
"users": "csv list of unique users that were found in alerts",
"email_addresses": "csv list of unique email_addresses that were found in alerts",
"hashes": "csv list of unique hashes that were found in alerts",
"processes": "csv list of unique processes that were found in alerts"
"rule_urls": ["Chronicle URL from API response for Rule"]
"count": 123
}
],
"processed_alerts": 10000,
"run_time": "how long it took to run the action or at least API request",
"EXTERNAL_url": "Chronicle URL from API response for EXTERNAL"
}
Mensajes de salida
La acción Lookup Similar Alerts proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Lookup Similar Alerts". Reason:
ERROR_REASON
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Error executing action "Lookup Similar Alerts". Reason: all of the
retries are exhausted. Please wait for a minute and try again.
|
No se pudo realizar la acción. Espera unos minutos antes de volver a ejecutar la acción. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Lookup Similar Alerts:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad con Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully connected to the Google Chronicle backstory with the
provided connection parameters! |
La acción se completó correctamente. |
Failed to connect to the Google Chronicle backstory. Error is
ERROR_REASON
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Quita filas de la tabla de datos
Usa la acción Remove Rows From Data Table para quitar filas de una tabla de datos en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Remove Rows From Data Table requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Data Table Name |
Obligatorio. Es el nombre visible de la tabla de datos que se actualizará. |
Rows |
Obligatorio. Es una lista de objetos JSON que se usa para buscar y borrar filas. Solo incluye columnas válidas. El valor predeterminado es el siguiente: |
Resultados de la acción
La acción Remove Rows From Data Table proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado en formato JSON que se recibe cuando se usa la acción Remove Rows From Data Table:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
Mensajes de salida
La acción Remove Rows From Data Table proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully removed rows from the data table
DATA_TABLE_NAME in
Google SecOps.
|
La acción se completó correctamente. |
Error executing action "Remove Rows From Data Table". Reason:
ERROR_REASON
|
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Remove Rows From Data Table:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Quita valores de la lista de referencia
Usa la acción Remove Values From Reference List para quitar valores de una lista de referencia en Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Remove Values From Reference List requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Reference List Name |
Obligatorio. Es el nombre de la lista de referencia que se actualizará. |
Values |
Obligatorio. Es una lista de valores separados por comas que se quitarán de la lista de referencia. |
Resultados de la acción
La acción Remove Values From Reference List proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Remove Values From Reference List con la API de Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
En el siguiente ejemplo, se describe el resultado JSON que se recibe cuando se usa la acción Remove Values From Reference List con la API de Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/<var class="readonly">REFERENCE_LIST_NAME</var>' }}",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Mensajes de salida
La acción Remove Values From Reference List proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Successfully removed values from the reference list.
|
La acción se completó correctamente. |
Error executing action "Remove Values From Reference List". Reason:
ERROR_REASON
|
No se pudo realizar la acción.
Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado del script cuando se usa la acción Remove Values From Reference List:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Conectores
Para obtener más detalles sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).
Google Chronicle: conector de alertas de Chronicle
Usa el conector de alertas de Google Chronicle - Chronicle para extraer información sobre las alertas basadas en reglas del SIEM de SecOps de Google.
Descripción general
El conector de alertas de Chronicle de Google Chronicle incorpora varios tipos de alertas del SIEM de Google SecOps.
Las funciones clave y los detalles operativos incluyen lo siguiente:
Consultar datos dentro de un período de una semana
Para evitar que se pierdan alertas debido a retrasos en la indexación, se pueden configurar un período de relleno y un aumento del tiempo de espera del conector, aunque un relleno significativo puede afectar negativamente el rendimiento.
Utiliza listas dinámicas para una configuración flexible.
Proporciona un
Fallback Severitypara las alertas que no tienen un valor de gravedad.Para transferir los IoC, se debe crear una regla de detección correspondiente en el SIEM de SecOps de Google que genere alertas basadas en los IoC.
Filtro de lista dinámica
La lista dinámica se usa para filtrar alertas directamente desde la página de configuración del conector.
Lógica del operador
La lista dinámica usa una combinación de lógica AND y OR para procesar las reglas de filtro:
Lógica
OR: Los valores en la misma línea, separados por una coma, se tratan con lógicaOR(comoRule.severity = low,mediumsignifica gravedadlowOmedium).Lógica
AND: Cada línea separada de la lista dinámica se trata con lógicaAND(por ejemplo, una línea paraRule.severityy una línea paraRule.ruleNamesignificanseverityYruleName).Los operadores admitidos (
=,!=,>,<,>=,<=) varían según la clave de filtro.
A continuación, se muestran ejemplos del uso de reglas de operadores:
- Rule.severity = medium: El conector solo ingiere alertas de reglas con gravedad media.
- Rule.severity = low,medium: El conector solo ingiere alertas de reglas con gravedad media o baja.
- Rule.ruleName = default_rule: El conector solo ingiere alertas de reglas con el nombre
default_rule.
Filtros compatibles
El conector de Chronicle Alerts admite el filtrado en las siguientes claves:
| Clave de filtro | Clave de respuesta | Operadores | Valores posibles |
|---|---|---|---|
Rule.severity |
detection o ruleLabels o severity |
=, !=, >, <,
>=, <= |
Los valores no distinguen mayúsculas de minúsculas. |
Rule.ruleName |
detection o ruleName |
=, != |
El usuario lo define. |
Rule.ruleID |
detection o ruleId |
=, != |
El usuario lo define. |
Rule.ruleLabels.{key} |
detection o ruleLabels |
=, != |
El usuario lo define. |
Manipulación ruleLabels
Para filtrar una etiqueta específica dentro de una regla, usa el formato Rule.ruleLabels.{key}.
Por ejemplo, para filtrar una etiqueta con la clave type y el valor suspicious_behaviour, la entrada de la lista dinámica debe ser la siguiente:
Rule.ruleLabels.type=suspicious_behaviour
Entradas del conector
El conector de Chronicle Alerts requiere los siguientes parámetros:
El valor predeterminado es Medium.
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es |
Event Field Name |
Obligatorio. Es el nombre del campo que determina el nombre del evento (subtipo). |
Environment Field Name |
Es opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Es opcional. Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio. Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Root |
Obligatorio. Es la raíz de la API de la instancia de SIEM de Google SecOps. Google SecOps proporciona extremos regionales para cada API, por ejemplo, Comunícate con Atención al cliente de Cloud para saber qué extremo usar. El valor predeterminado es |
User's Service Account |
Obligatorio. Es el contenido JSON completo de la cuenta de servicio que se usa para la autenticación. |
Fallback Severity |
Obligatorio. Es la gravedad predeterminada que se usará si la alerta del SIEM de Google SecOps no incluye un valor de gravedad. Los valores posibles son los siguientes:
|
Max Hours Backwards |
Es opcional. Es la cantidad de horas previas a la ejecución inicial del conector para recuperar incidentes. Este parámetro solo se aplica una vez. El valor máximo es El valor predeterminado es |
Max Alerts To Fetch |
Es opcional. Es la cantidad de alertas que se procesarán en cada iteración del conector. El valor predeterminado es |
Disable Event Splitting |
Es opcional. Si se selecciona esta opción, el conector no divide los eventos originales en varias partes, lo que garantiza que el recuento de eventos coincida entre la fuente y Google SecOps SOAR. No está habilitado de forma predeterminada. |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor SIEM de Google SecOps. Está habilitada de forma predeterminada. |
Proxy Server Address |
Es opcional. Es la dirección del servidor proxy que se usará. |
Proxy Username |
Es opcional. Nombre de usuario del proxy con el que se realizará la autenticación. |
Proxy Password |
Es opcional. Es la contraseña del proxy con la que se realizará la autenticación. |
Disable Overflow |
Es opcional. Si se selecciona, el conector ignora el mecanismo de desbordamiento de Google SecOps. No está habilitado de forma predeterminada. |
Reglas del conector
El conector de Google Chronicle - Chronicle Alerts admite proxies.
Eventos del conector
El conector de alertas de Google Chronicle - Chronicle procesa tres tipos de eventos del SIEM de Google SecOps.
Alertas basadas en reglas
Este tipo de evento lo genera una regla de detección en el SIEM de Google SecOps.
{
"alert_type": "RULE",
"event_type": "NETWORK_DHCP",
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "d3_test",
"urlBackToProduct": "https://INSTANCE/ruleDetections?ruleId=ru_74dd17e2-5aad-4053-acd7-958bead014f2&selectedList=RuleDetectionsViewTimeline&selectedParentDetectionId=de_b5dadaf4-b398-325f-9f09-833b71b3ffbb&selectedTimestamp=2022-02-08T05:02:36Z&versionTimestamp=2020-11-19T18:19:11.951951Z",
"ruleId": "ru_74dd17e2-5aad-4053-acd7-958bead014f2",
"ruleVersion": "ru_74dd17e2-5aad-4053-acd7-958bead014f2@v_1605809951_951951000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT",
"ruleLabels": [
{
"key": "author",
"value": "analyst123"
},
{
"key": "description",
"value": "8:00 AM local time"
},
{
"key": "severity",
"value": "Medium"
}
]
}
],
"createdTime": "2022-02-08T06:07:33.944951Z",
"id": "de_b5dadaf4-b398-325f-9f09-833b71b3ffbb",
"timeWindow": {
"startTime": "2022-02-08T05:02:36Z",
"endTime": "2022-02-08T05:02:36Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2022-02-08T05:02:36Z",
"eventType": "NETWORK_DHCP",
"productName": "Infoblox DHCP",
"ingestedTimestamp": "2022-02-08T05:03:03.892234Z"
},
"principal": {
"ip": [
"198.51.100.255",
"198.51.100.1"
],
"mac": [
"01:23:45:ab:cd:ef"
],
"email_address": [
"example@example.com"
]
},
"target": {
"hostname": "dhcp_server",
"ip": [
"198.51.100.0",
"198.51.100.1"
]
},
"network": {
"applicationProtocol": "DHCP",
"dhcp": {
"opcode": "BOOTREQUEST",
"ciaddr": "198.51.100.255",
"giaddr": "198.51.100.0",
"chaddr": "01:23:45:ab:cd:ef",
"type": "REQUEST",
"clientHostname": "example-user-pc",
"clientIdentifier": "AFm/LDfjAw=="
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2022-02-08T05:02:36Z"
}
Alertas externas
Este tipo de evento se basa en una alerta externa que se transfiere a la SIEM de Google SecOps.
{
"alert_type": "External",
"event_type": "GENERIC_EVENT",
"name": "Authentication failure [32038]",
"sourceProduct": "Internal Alert",
"severity": "Medium",
"timestamp": "2020-09-30T18:03:34.898194Z",
"rawLog": "U2VwIDMwIDE4OjAzOjM0Ljg5ODE5NCAxMC4wLjI5LjEwOSBBdXRoZW50aWNhdGlvbiBmYWlsdXJlIFszMjAzOF0=",
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=198.51.100.109&namespace=[untagged]&referenceTime=2020-09-30T18%3A03%3A34.898194Z&selectedList=AssetViewTimeline&startTime=2020-09-30T17%3A58%3A34.898194Z&endTime=2020-09-30T18%3A08%3A34.898194Z&selectedAlert=-610875602&selectedEventTimestamp=2020-09-30T18%3A03%3A34.898194Z"
],
"event": {
"metadata": {
"eventTimestamp": "2020-09-30T18:03:34.898194Z",
"eventType": "GENERIC_EVENT",
"productName": "Chronicle Internal",
"ingestedTimestamp": "2020-09-30T18:03:34.991592Z"
},
"target": [
{
"ip": [
"198.51.100.255",
"198.51.100.1"
]
}
],
"securityResult": [
{
"summary": "Authentication failure [32038]",
"severityDetails": "Medium"
}
]
}
}
Alertas de IoC
Este tipo de evento coincide con una lista predefinida de IoCs.
{
"alert_type": "IOC",
"event_type": "IOC Alert",
"artifact": {
"domainName": "example.com"
},
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2020-09-07T11:00:00Z",
"firstSeenTime": "2018-10-03T00:01:59Z",
"lastSeenTime": "2022-02-04T20:02:29.191Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-08T15%3A08%3A52.434022777Z"
]
}
Estructura de la alerta
En la siguiente tabla, se describe cómo el conector Google Chronicle - Chronicle Alerts Connector completa los atributos de una alerta en Google SecOps. Para mayor claridad, los atributos de la alerta se agrupan según su origen y tipo.
Atributos generados internamente
Estos atributos los genera el framework y son coherentes en todos los tipos de alertas.
| Nombre del atributo de alerta | Fuente |
|---|---|
SourceSystemName |
Se genera internamente en el framework. |
TicketId |
El valor se toma del archivo ids.json. |
DisplayId |
Se genera automáticamente. |
Atributos para todos los tipos de alertas
Estos atributos se derivan de la alerta fuente, pero su clave de fuente varía según el tipo de alerta.
| Nombre del atributo de alerta | Fuente |
|---|---|
Priority |
Se toma de la respuesta de la API o del parámetro Fallback Severity. |
DeviceVendor |
El valor codificado es Google Chronicle. |
DeviceProduct |
Es un valor codificado que depende del tipo de alerta: RULE para las alertas de detección de reglas, IOC para las coincidencias de IOC o EXTERNAL para las alertas externas. |
Description |
En el caso de las alertas basadas en reglas, esta información se obtiene de detection/ruleLabels/description (si existe). No está disponible para otros tipos de alertas. |
Reason |
No disponible. |
SourceGroupingIdentifier |
No disponible |
Chronicle Alert - Attachments |
No disponible. |
Tipos de alertas específicos
Estos atributos son específicos del origen de la alerta, lo que facilita la comprensión de cómo se completa cada uno.
| Nombre del atributo de alerta | Alertas basadas en reglas | Alertas basadas en IOC | Alertas externas |
|---|---|---|---|
Name |
detection/ruleName |
IOC Alert (codificado) |
alertInfos/name |
RuleGenerator |
detection/ruleName |
IOC Alert (codificado) |
alertInfos/name |
StartTime y EndTime |
timeWindow o startTime |
lastSeenTime |
timestamp |
Chronicle Alert - Extensions |
rule_id (ruleId), product_name (CSV de un evento o metadatos, o un valor de productName) |
No aplicable | alert_name (name), product_name (CSV de un evento o metadatos del UDM, o un valor de productName) |
Obsoleto: Conector de alertas de Google Chronicle
Este conector extrae alertas de activos de Google SecOps SIEM y las convierte en alertas de Google SecOps SIEM.
Puedes autenticarte con la biblioteca de Google con google.oauth2.service_account y AuthorizedSession.
Este conector requiere la API de SIEM Search de Google SecOps.
Entradas del conector
El conector de alertas requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio.
Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es |
Environment Field Name |
Es opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Es opcional. Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio. Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
Service Account Credentials |
Obligatorio. Es el contenido del archivo JSON de la cuenta de servicio. |
Fetch Max Hours Backwards |
Es opcional. Cantidad de horas previas a la ejecución inicial del conector desde las que se recuperan los incidentes. Este parámetro solo se aplica una vez. El valor máximo es El valor predeterminado es |
Obsoleto: Conector de IoCs de Google Chronicle
En su lugar, usa el conector de Chronicle Alerts.
Este conector extrae las coincidencias de dominios de IOC de Google SecOps SIEM y las convierte en alertas de Google SecOps SIEM.
Puedes autenticarte con la biblioteca de Google con google.oauth2.service_account y AuthorizedSession.
Este conector usa la API de Google SecOps SIEM Search.
Entradas del conector
El conector de IoCs de Google Chronicle requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio.
Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es |
Environment Field Name |
Es opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Es opcional. Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Script Timeout (Seconds) |
Obligatorio. Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
Service Account Credentials |
Obligatorio. Es el contenido del archivo JSON de la cuenta de servicio. |
Fetch Max Hours Backwards |
Es opcional. Es la cantidad de horas previas a la ejecución inicial del conector desde las que se recuperan las alertas. Este parámetro solo se aplica una vez. El valor máximo es El valor predeterminado es |
Max Alerts To Fetch |
Es opcional. Es la cantidad máxima de alertas que se procesarán en cada iteración del conector. El valor predeterminado es |
Trabajos
Para obtener más información sobre los trabajos, consulta Configura un trabajo nuevo y Programación avanzada.
Requisitos previos para la configuración del trabajo
Antes de continuar con la configuración del trabajo, configura el conector de Chronicle Alerts.
Para configurar los trabajos de Google Chronicle, sigue estos pasos:
En Google SecOps SOAR, ve a Response > Job Scheduler.
Haz clic en agregarCrear trabajo nuevo.
En el diálogo Add Job que aparece, selecciona el trabajo de Google Chronicle correspondiente y haz clic en Save.
Opcional: Edita el nombre y la descripción del trabajo, si es necesario.
En la sección Detalles del trabajo, haz lo siguiente:
- Asegúrate de que GoogleChronicle esté seleccionado en el campo Integration.
Para ejecutar el trabajo automáticamente a intervalos especificados, configura un intervalo del programador. Es obligatorio configurar el programador para completar la configuración del trabajo.
Dado que los trabajos de Google Chronicle pueden sincronizar grandes cantidades de datos en una sola ejecución, Google recomienda que establezcas el intervalo del programador en un mínimo de 2 minutos.
Google Chronicle: Trabajo de sincronización de datos
Este trabajo funciona con las alertas creadas por el trabajo Chronicle Alerts Connector y Chronicle Alerts Creator, pero no con las alertas de los conectores obsoletos (Alerts Connector y IOCs Connector).
El trabajo Google Chronicle Sync Data sincroniza las alertas y los casos actualizados de Google SecOps que se administran en Google SecOps SOAR con Google SecOps SIEM. Por lo tanto, puedes hacer un seguimiento de la misma información en ambos sistemas inmediatamente después de realizar cambios en Google SecOps SOAR.
Sincronización de datos de casos y alertas
El trabajo Google Chronicle Sync Data hace un seguimiento de los siguientes campos de los casos y los sincroniza:
| Campo de seguimiento | Campo sincronizado |
|---|---|
Priority |
Priority |
Status |
Status |
Title |
Title |
| No aplicable | Stage |
| No aplicable | Google SecOps Case ID |
| No aplicable | Google SecOps Case ID |
El ID de caso de Google SecOps es un identificador único de caso en Google SecOps SOAR y Google SecOps SIEM.
El trabajo Google Chronicle Sync Data hace un seguimiento de los siguientes campos de las alertas y los sincroniza:
| Campo de seguimiento | Campo sincronizado |
|---|---|
Priority |
Priority |
Status |
Status |
Case ID |
No aplicable |
| No aplicable | Google SecOps Alert ID |
| No aplicable | Google SecOps Case ID |
| No aplicable | Verdict |
| No aplicable | Closure Comment |
| No aplicable | Closure Reason |
| No aplicable | Closure Root Cause |
| No aplicable | Usefulness |
El ID de alerta de Google SecOps es un identificador único de la alerta en la SOAR de Google SecOps.
En una iteración, el trabajo sincroniza hasta 1,000 casos y 1,000 alertas. La sincronización se produce en el entorno de SOAR de Google SecOps que se especifica en la configuración del trabajo. El mecanismo de sincronización garantiza que un caso del entorno especificado no se pueda sincronizar con otro entorno.
Configura el trabajo de Google Chronicle Sync Data
Este trabajo solo sincroniza los casos de Google SecOps SOAR que se transfirieron desde Google SecOps SIEM.
Asegúrate de haber completado los pasos de los requisitos previos antes de configurar este trabajo.
Para configurar el trabajo Google Chronicle Sync Data, sigue estos pasos:
En la sección Parámetros, configura los siguientes parámetros:
Parámetro Descripción EnvironmentObligatorio.
Nombre del entorno creado en Google SecOps SOAR para sincronizar casos y alertas.
API RootObligatorio.
Es la raíz de la API de la instancia de Google SecOps SIEM.
Google SecOps proporciona extremos regionales para cada API.
Por ejemplo,
https://europe-backstory.googleapis.comohttps://asia-southeast1-backstory.googleapis.com.Si no sabes qué extremo usar, [comunícate con el equipo de Atención al cliente de Cloud](/chronicle/docs/getting-support).
El valor predeterminado es
https://backstory.googleapis.com.User's Service AccountObligatorio.
Contenido del archivo JSON de la cuenta de servicio de tu instancia de Google SecOps SIEM.
Max Hours BackwardsEs opcional.
Cantidad de horas desde las que se recuperarán las alertas. Usa solo números positivos.
El valor predeterminado es
24.Verify SSLObligatorio.
Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor SIEM de Google SecOps.
Está habilitada de forma predeterminada.
El trabajo Google Chronicle Sync Data está habilitado de forma predeterminada. Cuando guardes el trabajo configurado correctamente, comenzará a sincronizar datos con Google SecOps SIEM de inmediato. Para inhabilitar el trabajo, cambia el botón de activación junto al nombre del trabajo.
Para completar la configuración, haz clic en Guardar.
Si el botón Guardar está inactivo, asegúrate de haber configurado todos los parámetros obligatorios.
Opcional: Para ejecutar el trabajo inmediatamente después de guardarlo, haz clic en Ejecutar ahora.
La opción Ejecutar ahora te permite activar una sola ejecución de trabajo que sincroniza los datos actuales de alertas y casos de Google SecOps SOAR con Google SecOps SIEM.
Mensajes de registro
En la siguiente tabla, se enumeran los posibles mensajes de registro para el trabajo de Google Chronicle Data Sync:
| Entrada de registros | Tipo | Descripción |
|---|---|---|
Unable to parse credentials as JSON. Please validate creds.
|
Error | La cuenta de servicio proporcionada en el parámetro User's Service Account está dañada. |
"Max Hours Backwards" parameter must be a positive number. |
Error | El parámetro Max Hours backwards se establece en 0 o en un número negativo. |
Current platform version does not support SDK methods designed for
Google SecOps. Please use version 6.1.33 or higher. |
Error | La versión actual de la instancia de la plataforma de SecOps de Google no admite la ejecución de la secuencia de comandos del trabajo de Chronicle Sync Data. Esto significa que la versión de compilación de la instancia es anterior a la 6.1.33. |
Unable to connect to Google SecOps, please validate
your credentials: CREDENTIALS |
Error | No se pudieron validar los valores de la cuenta de servicio o de la raíz de la API en la instancia de SIEM de Google SecOps. Este error se informa si falla la prueba de conectividad. |
--- Start Processing Updated Cases --- |
Información | Comenzó a ejecutarse el bucle de procesamiento de casos. |
Last success time. Date time:DATE_AND_TIME.
Unix:UNIX_EPOCH_TIME
|
Información | Es la marca de tiempo de la última ejecución correcta de la secuencia de comandos para casos o alertas:
|
Key: "DATABASE_KEY" does not exist in the
database. Returning default
value instead: DEFAULT_VALUE |
Información | La clave de la base de datos de la alerta o el caso pendiente no existe en la base de datos. Esta entrada de registro siempre aparece en la primera ejecución de la secuencia de comandos. |
Failed to parse data as JSON. Returning default value instead:
"DEFAULT_VALUE. ERROR:
ERROR |
Error | El valor recuperado de la base de datos no tiene un formato JSON válido. |
Exception was raised from the database. ERROR:
ERROR. |
Error | Hay un problema de conexión con la base de datos. |
|
Información | Se recuperaron correctamente los IDs de los casos o las alertas pendientes del backlog. CASE_IDS es la cantidad de IDs de casos que se trajeron. |
|
Error | La cantidad de IDs de casos o alertas pendientes que se recuperan de la base de datos es mayor que el límite (1,000). Se ignorarán los IDs que superen el límite. Este error puede indicar una posible corrupción de la base de datos. |
|
Información | Se recuperaron correctamente de la plataforma los IDs de la alerta o el caso recién actualizados. |
|
Información | Se inició la actualización de casos y alertas en la instancia de la SIEM de Google SecOps. |
|
Error | El caso o la alerta especificados no se pueden sincronizar con Google SecOps SIEM. |
|
Información | El caso o la alerta pendientes especificados alcanzaron el límite de reintentos de sincronización (5) y no se insertaron de nuevo en la lista de tareas pendientes. |
|
Información | Es la lista de IDs de casos o alertas que no se pueden sincronizar con Google SecOps SIEM. |
Updated External Case IDs for the following cases:
CASE_IDS |
Información | Es la lista de casos para los que el trabajo actualizó el ID externo del caso de SIEM de Google SecOps coincidente en la plataforma de Google SecOps SOAR. |
Failed to update external ids. |
Error | Entrada de registro que indica que hubo un problema con el método o la conexión del SDK que impidió la actualización de los IDs de casos externos en la plataforma. |
|
Error | Es la entrada de registro que indica que hubo un error de finalización determinado que impidió que el caso o el bucle de procesamiento de alertas finalizaran de forma natural. El registro de pila se imprime después de este registro con el error específico. |
|
Información | El bucle de procesamiento de casos y alertas finalizó, ya sea de forma natural o con un error. |
|
Error | Es la lista de IDs de casos o alertas fallidos que tienen un recuento de reintentos menor o igual a 5 para volver a escribirse en el backlog. |
|
Información | Se completó la etapa de procesamiento del caso y la alerta. |
Saving timestamps. |
Información | Se guardan en la base de datos las marcas de tiempo de la última actualización correcta del caso y la alerta. |
Saving pending ids. |
Información | Se guardan los IDs de casos y alertas pendientes en la base de datos. |
Got exception on main handler. Error:
ERROR_REASON |
Error | Se produjo un error general de finalización. El registro de pila se imprime después de este registro con el error específico. |
Empleo de Google Chronicle Alerts Creator
El trabajo de Google Chronicle Alerts Creator requiere la versión 6.2.30 o posterior de la plataforma de Google SecOps.
Este trabajo crea todas las alertas de la SOAR de Google SecOps en la SIEM de Google SecOps, incluidas las alertas de desbordamiento. El trabajo de Google Chronicle Alerts Creator no replica las alertas que se originan en Google SecOps.
El trabajo Google Chronicle Alerts Creator consulta la plataforma de SOAR con el SDK de Python para las alertas no sincronizadas. El trabajo envía alertas no sincronizadas a la SIEM de forma individual. El SIEM actualiza y devuelve los identificadores de las alertas correspondientes del SIEM, y SOAR guarda los identificadores con la API de la plataforma de SOAR a través del SDK de Python.
Relación entre los trabajos de Google Chronicle
Un sistema completo de Google SecOps ejecuta los siguientes tres componentes de forma simultánea:
- Conector de Chronicle Alerts
- Trabajo de sincronización de datos de Google Chronicle
- Trabajo de Google Chronicle Alerts Creator
El trabajo Google Chronicle Sync Data crea y sincroniza casos. También sincroniza las modificaciones de casos y alertas, como los cambios de prioridad.
El trabajo Google Chronicle Alerts Creator genera todas las alertas, excepto las alertas del SIEM. El trabajo Google Chronicle Sync Data envía actualizaciones sobre las alertas no sincronizadas después de que el trabajo Google Chronicle Alerts Creator crea las alertas.
Sincronización de datos de casos y alertas
Los casos se sincronizan de la misma manera que con el trabajo de datos de Google Chronicle Sync.
En la SIEM de Google SecOps, cada alerta se identifica con un identificador de alerta de SIEM. Las alertas de SOAR pueden adoptar un identificador de SIEM en dos situaciones:
Se genera una alerta en el SIEM.
Esta alerta ya existe en el SIEM de Google SecOps, por lo que no es necesario duplicarla. El conector propaga el campo
siem_alert_id.Se genera una alerta en los conectores de terceros.
Esta alerta no existe en Google SecOps SIEM y requiere que se ejecute una operación de sincronización explícita de la que se encarga el trabajo Google Chronicle Alerts Creator. Una vez que se completa la operación de sincronización, la alerta adquiere un nuevo identificador de SIEM.
Configura el trabajo de Google Chronicle Alerts Creator
Asegúrate de haber completado los pasos de los requisitos previos antes de configurar el trabajo.
Para configurar el trabajo de Google Chronicle Alerts Creator, sigue estos pasos:
Configura los parámetros del trabajo con la siguiente tabla:
Parámetro Descripción EnvironmentObligatorio.
Es el nombre del entorno creado en Google SecOps SOAR en el que deseas sincronizar casos y alertas.
API RootObligatorio.
Es la raíz de la API de la instancia de Google SecOps SIEM.
Google SecOps proporciona extremos regionales para cada API.
Por ejemplo,
https://europe-backstory.googleapis.comohttps://asia-southeast1-backstory.googleapis.com.Si no sabes qué extremo usar, [comunícate con el equipo de Atención al cliente de Cloud](/chronicle/docs/getting-support).
El valor predeterminado es
https://backstory.googleapis.com.User's Service AccountObligatorio.
Contenido del archivo JSON de la cuenta de servicio de tu instancia de Google SecOps SIEM.
Verify SSLObligatorio.
Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor SIEM de Google SecOps.
Está habilitada de forma predeterminada.
Para completar la configuración, haz clic en Guardar.
Si el botón Guardar está inactivo, asegúrate de haber configurado todos los parámetros obligatorios.
Opcional: Para ejecutar el trabajo inmediatamente después de guardarlo, haz clic en Ejecutar ahora.
La opción Ejecutar ahora te permite activar una sola ejecución de trabajo que sincroniza los datos actuales de alertas y casos de Google SecOps SOAR con Google SecOps SIEM.
Mensajes de registro y manejo de errores
| Registro | Nivel | Descripción |
|---|---|---|
|
ERROR | La cuenta de servicio proporcionada en el parámetro Cuenta de servicio del usuario está dañada. |
|
ERROR | La versión actual de la instancia de la plataforma de SecOps de Google no admite la ejecución de la secuencia de comandos del trabajo de Google Chronicle Alerts Creator. Este error significa que la versión de compilación de la instancia es anterior a la 6.2.30. |
|
ERROR | Los valores de la cuenta de servicio o de la raíz de la API no se pueden validar en la instancia de SIEM de Google SecOps. Este error se informa si falla la prueba de conectividad. |
|
INFORMACIÓN | Es un mensaje de registro que indica que se inició el trabajo. |
|
INFORMACIÓN | Es un mensaje de registro que indica que se inició la función principal. |
|
INFORMACIÓN | Es un mensaje de registro que indica el número de iteración del intento consecutivo actual. |
|
INFORMACIÓN | Mensaje de registro que indica que el código no recupera más de BATCH_SIZE alertas nuevas de SOAR. |
|
INFORMACIÓN | Mensaje de registro que indica que se recuperaron las alertas de SOAR de NUMBER_OF_NEW_ALERTS. |
|
INFORMACIÓN | Mensaje de registro que indica que no se encontraron alertas nuevas de SOAR y que el trabajo se detendrá. |
|
INFORMACIÓN | Mensaje de registro que indica que el trabajo recuperó las alertas de SOAR con los siguientes identificadores en la lista de IDs. Puedes usar esta información para hacer un seguimiento del progreso del trabajo y solucionar problemas relacionados con el código. |
|
INFORMACIÓN | Mensaje de registro que indica que el trabajo está enviando alertas de SOAR a la SIEM. |
|
ERROR | Mensaje de registro que indica que no se creó la alerta correctamente en el SIEM debido a un error. |
|
INFORMACIÓN | Mensaje de registro que indica que el trabajo está actualizando SOAR con la respuesta del SIEM. |
|
ADVERTENCIA | Indica que SOAR no pudo actualizar el estado de la sincronización de alertas. |
|
INFORMACIÓN | Mensaje de registro que indica que se sincronizó un total de total_synced alertas en la ejecución actual. |
|
INFORMACIÓN | Es un mensaje de registro que indica que el trabajo finalizó. |
|
ERROR | Mensaje de registro que indica que se produjo una excepción en la función principal. El mensaje de excepción se incluye en el mensaje de registro. |
Casos de uso
La integración de Google Chronicle te permite ejecutar los siguientes casos de uso:
- Chronicle Windows Threats Investigation and Response
- Security Command Center y Chronicle Cloud DIR
Instala el caso de uso
En Google SecOps Marketplace, ve a la pestaña Casos de uso.
En un campo de búsqueda, ingresa el nombre del caso de uso.
Haz clic en el caso de uso.
Sigue los pasos y las instrucciones de configuración del asistente de instalación.
Una vez que finalice, todos los componentes necesarios se instalarán en tu máquina de Google SecOps. Para finalizar la instalación, configura el bloque Initialization en el playbook que corresponda a tu caso de uso.
Investigación y respuesta ante amenazas de Windows con Chronicle
Aprovecha el poder de Google SecOps para responder en tiempo real a las amenazas de Windows en tu entorno. Con Threat Intelligence para Google SecOps, los equipos de seguridad pueden aprovechar un servicio de inteligencia sobre amenazas de alta fidelidad junto con Google SecOps. Las amenazas reales en tu entorno ahora se pueden priorizar y corregir automáticamente en un período breve y eficaz.
En Google SecOps, ve a Response > Playbooks.
Selecciona el playbook Google Chronicle - Windows Threats Investigation & Response. La guía se abrirá en la vista del diseñador de guías.
Haz doble clic en Set Initialization Block_1. Se abrirá el cuadro de diálogo de configuración del bloque.
Para configurar el playbook, usa los siguientes parámetros:
Parámetro de datos Valores posibles Descripción edr_product- CrowdStrike
- Carbon Black
- Ninguno
Es el producto de EDR que se usará en la guía. itsm_product- ServiceNow
- Jira
- ZenDesk
- Ninguno
Es el producto de ITSM que se usará en la guía. Jira requiere configuración adicional en el bloque Open Ticket. crowdstrike_use_spotlightTrueoFalseSi es True, la guía ejecuta acciones de Crowdstrike que requieren una licencia de Spotlight (información sobre vulnerabilidades).use_mandiantTrueoFalseSi es True, la guía ejecuta el bloque de Mandiant.slack_userNombre de usuario o dirección de correo electrónico Nombre de usuario o dirección de correo electrónico del usuario de Slack Si no se proporciona ninguno, la guía omitirá los bloques de Slack. Haz clic en Guardar. Se cerrará el cuadro de diálogo de configuración del bloque.
En el panel del diseñador de la guía, haz clic en Guardar.
Para probar el manual en el caso de uso, ingiere el caso de prueba incluido en el paquete. Es posible que algunas capacidades de los casos de prueba fallen porque los datos que se usan para las pruebas no están disponibles en tu entorno.
Security Command Center y Chronicle Cloud DIR
Integra Security Command Center con el SIEM de Google SecOps para permitir que tus analistas investiguen los incidentes y las amenazas que detecta Security Command Center.
Configura el caso de uso
El caso de uso requiere que configures las siguientes integraciones:
- Siemplify
- Herramientas
- Mitre ATT&CK
- Google Cloud IAM
- Google Chronicle
- Funciones
- Google Cloud Compute
- Email V2
- VirusTotal v3
Las integraciones de Google Security Command Center y Mandiant son opcionales.
Asegúrate de instalar el caso de uso antes de configurarlo.
- En Google SecOps, ve a la pestaña Playbooks.
- Selecciona el playbook SCC & Chronicle Cloud DIR.
- Haz doble clic en el bloque de inicialización para configurarlo.
- Configura el playbook con los siguientes parámetros:
| Nombre del parámetro | Valores posibles | Descripción |
|---|---|---|
Mandiant_Enrichment |
True o False |
Si es La integración de Mandiant debe configurarse para esta configuración. Puedes quitar el enriquecimiento si rara vez obtienes información significativa. Quitar el bloque de enriquecimiento mejora la velocidad de ejecución de la guía. |
SCC_Enrichment |
True o False |
Si es La integración de Security Command Center debe configurarse para esta configuración. Puedes quitar el enriquecimiento si rara vez obtienes información significativa. Quitar el bloque de enriquecimiento mejora la velocidad de ejecución de la guía. |
IAM_Enrichment |
True o False |
Si es True, la guía usa las capacidades de IAM para un enriquecimiento adicional. Puedes quitar el enriquecimiento si rara vez obtienes información significativa. Quitar el bloque de enriquecimiento mejora la velocidad de ejecución de la guía. |
Compute_Enrichment |
True o False |
Si es True, el playbook usa las capacidades de Compute Engine para un enriquecimiento adicional. Puedes quitar el enriquecimiento si rara vez obtienes información significativa. Quitar el bloque de enriquecimiento mejora la velocidad de ejecución de la guía. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.