Integra Google Chronicle con Google SecOps
Questo documento spiega come integrare Google Chronicle con Google Security Operations (Google SecOps).
Versione integrazione: 64.0
Casi d'uso
L'integrazione di Google Chronicle può risolvere i seguenti casi d'uso:
Indagine e correzione automatizzate del phishing:utilizza le funzionalità di Google SecOps SOAR per eseguire automaticamente query per dati email storici, log delle attività utente e intelligence sulle minacce per valutare la legittimità delle email. La correzione automatica può aiutarti con la valutazione e il contenimento impedendo la diffusione di malware o violazioni dei dati.
Arricchimento degli avvisi di sicurezza:utilizza le funzionalità SOAR di Google SecOps per arricchire un avviso generato in un SIEM con contesto storico, ad esempio il comportamento passato degli utenti e le informazioni sugli asset. In questo modo, gli analisti hanno una visione completa di un incidente, il che consente di prendere decisioni più rapide e informate.
Ricerca delle minacce basata sugli approfondimenti di Google SecOps: utilizza le funzionalità SOAR di Google SecOps per automatizzare il processo di interrogazione di altri strumenti di sicurezza per indicatori di compromissione (IOC) correlati. In questo modo puoi identificare in modo proattivo potenziali violazioni prima che si intensifichino.
Playbook di risposta automatica agli incidenti:utilizza le funzionalità SOAR di Google SecOps per attivare playbook predefiniti che utilizzano i dati di Google SecOps per isolare i sistemi compromessi, bloccare gli indirizzi IP dannosi e inviare notifiche agli stakeholder pertinenti. In questo modo è possibile ridurre i tempi di risposta agli incidenti e minimizzare l'impatto degli incidenti di sicurezza.
Report e audit di conformità:utilizza le funzionalità SOAR di Google SecOps per automatizzare la raccolta dei dati di sicurezza da Google SecOps per i report di conformità, semplificare la procedura di audit e ridurre l'impegno manuale.
Prima di iniziare
Prima di configurare l'integrazione di Google Chronicle in Google SecOps, assicurati di disporre di quanto segue:
Google Cloud Progetto: accesso a un progetto Google Cloud attivo.
Autorizzazioni: i ruoli IAM (Identity and Access Management) necessari nel tuo progettoGoogle Cloud per creare e gestire service account e criteri IAM.
Configura l'integrazione
I passaggi di configurazione dipendono dal tipo di deployment di Google SecOps:
Deployment di Unified SecOps: se la tua istanza di Google SecOps fa parte di un deployment di Unified SecOps (integrato con Google Security Operations SIEM), l'integrazione in genere utilizza un Service Account predefinito gestito da Google. In questo caso, non devi caricare una chiave JSON dell'account di servizio né configurare manualmente Workload Identity. Le autorizzazioni richieste sono preconfigurate o ereditate dall'ambiente host.
Deployment SOAR autonomo: se la tua istanza di Google SecOps è un deployment SOAR autonomo (non integrato con Google Security Operations SIEM), devi configurare manualmente l'autenticazione utilizzando uno dei seguenti metodi:
File di chiavi JSON del service account
Federazione delle identità per i workload
Autenticazione con una chiave JSON del service account
Il processo di autenticazione per una chiave JSON del service account varia tra l'API Chronicle e l'API Backstory.
Autenticazione API Chronicle (consigliata)
Per utilizzare l'API Chronicle, devi creare un account di servizio nel tuo progettoGoogle Cloud .
Nella console Google Cloud , vai a IAM e amministrazione > Service account.
Seleziona Crea service account e segui le istruzioni per creare il service account richiesto.
Seleziona l'indirizzo email del nuovo service account e vai a Chiavi > Aggiungi chiave > Crea nuova chiave.
Seleziona
JSONcome tipo di chiave e fai clic su Crea. Un file di chiave JSON viene scaricato sul computer.In Autorizzazioni > Gestisci accesso, assegna i ruoli IAM specifici di Google SecOps richiesti all'account di servizio.
Autenticazione API Backstory
Per utilizzare l'API Backstory è necessario un service account. Un amministratore deve creare questo account per te.
Contatta l'assistenza Google SecOps e richiedi un account di servizio per l'API Backstory. Fornisci i dettagli necessari per il deployment di SOAR.
L'assistenza Google SecOps ti fornirà un file della chiave JSON per il service account.
Utilizza la chiave fornita nella configurazione dell'integrazione.
Autenticazione con Workload Identity (consigliato)
Workload Identity è il metodo di autenticazione consigliato e più sicuro per le implementazioni SOAR autonome. Elimina la necessità di gestire le chiavi del service account di lunga durata abilitando le credenziali federate di breve durata.
Per configurare l'autenticazione con Workload Identity:
Crea un fornitore e un pool di identità del workload:
Nella console Google Cloud , vai a IAM e amministrazione > Federazione delle identità per i carichi di lavoro.
Segui le istruzioni per creare un pool Workload Identity e poi un provider pool Workload Identity che considera Google SecOps come identità esterna.
Puoi configurare il provider in modo che consideri Google SecOps comeorigine identitàà esterna utilizzando OpenID Connect (OIDC).
-
Nella Google Cloud console, vai a IAM e amministrazione > Service account.
Crea un service account dedicato nel tuo progetto Google Cloud . Questo account verrà rappresentato dal carico di lavoro esterno (Google SecOps).
Concedi le autorizzazioni al service account:
Assegna i ruoli IAM specifici di Google SecOps richiesti (ad esempio, Visualizzatore Chronicle, Editor Chronicle Security Operations) al service account.
Concedi il ruolo
Service Account Token Creatoral provider pool Workload Identity che hai creato. Questa autorizzazione consente al fornitore di impersonare questo service account.
Configura la relazione di trust:
Stabilisci la relazione di attendibilità tra il provider del pool di identità del workload e il service account. In questo modo, l'identità esterna (che rappresenta Google SecOps) viene collegata all'account di servizio. Google Cloud
Configura il parametro di integrazione:
Nella finestra di dialogo di configurazione dell'integrazione, inserisci l'indirizzo email del service account nel campo Email di Workload Identity.
Per istruzioni più dettagliate sulla configurazione della federazione delle identità per i workload, consulta Google Cloud Workload Identity.
Parametri di integrazione
L'integrazione di Google Chronicle richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
UI Root |
Obbligatorio. L'URL di base dell'interfaccia SIEM di Google SecOps. Viene utilizzato per generare automaticamente link diretti alla piattaforma SIEM dai record dei casi. Il valore predefinito è
|
API Root |
Obbligatorio. La radice dell'API per l'istanza SIEM di Google SecOps. Il valore dipende dal metodo di autenticazione:
L'utilizzo delle credenziali errate per la radice dell'API comporta un errore di connessione. |
User's Service Account |
Facoltativo. L'intero contenuto del file della chiave JSON dell'account di servizio. Se questo parametro e il parametro |
Workload Identity Email |
Facoltativo. L'indirizzo email client della tua federazione delle identità per i workload. Questo parametro ha la priorità sul file della chiave Per utilizzare la federazione delle identità per i carichi di lavoro, devi concedere il ruolo
|
Verify SSL |
Obbligatorio. Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Google SecOps SIEM. Abilitato per impostazione predefinita. |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Aggiungere righe alla tabella di dati
Utilizza l'azione Aggiungi righe alla tabella di dati per aggiungere righe a una tabella di dati in Google SecOps.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
Per configurare l'azione, utilizza i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Data Table Name |
Obbligatorio. Il nome visualizzato della tabella di dati da aggiornare. |
Rows |
Obbligatorio. Un elenco di oggetti JSON contenenti informazioni sulle righe da aggiungere. Ad esempio:
{
"columnName1": "value1",
"columnName2": "value2"
}
|
Output dell'azione
L'azione Aggiungi righe alla tabella di dati fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Approfondimento sull'entità | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra un risultato JSON di esempio restituito dall'azione Aggiungi righe alla tabella di dati:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
}
}
Messaggi di output
L'azione Aggiungi righe alla tabella di dati fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully added rows to the data table
DATA_TABLE_NAME in
Google SecOps. |
L'azione è riuscita. |
Error executing action "Add Rows to Data Table". Reason:
ERROR_REASON |
L'azione non è riuscita.
Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella descrive i valori per l'output del risultato dello script quando utilizzi l'azione Aggiungi righe alla tabella di dati:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Aggiungere valori all'elenco di riferimento
Utilizza l'azione Aggiungi valori all'elenco di riferimento per aggiungere valori a un elenco di riferimento in Google SecOps.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
Per configurare l'azione, utilizza i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Reference List Name |
Obbligatorio. Il nome dell'elenco di riferimento da aggiornare. |
Values |
Obbligatorio. Un elenco di valori separati da virgole da aggiungere all'elenco di riferimenti. |
Output dell'azione
L'azione Aggiungi valore all'elenco di riferimento fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Approfondimento sull'entità | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Aggiungi valore all'elenco di riferimento con l'API Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Aggiungi valore all'elenco di riferimento con l'API Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_NAME",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Messaggi di output
L'azione Aggiungi valori all'elenco di riferimento fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully added values to the reference list
REFERENCE_LIST_NAME. |
L'azione è riuscita. |
Error executing action "Add Values To Reference List". Reason:
ERROR_REASON |
L'azione non è riuscita.
Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori per l'output del risultato dello script quando utilizzi l'azione Aggiungi valori all'elenco di riferimento:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Chiedi a Gemini
Utilizza l'azione Chiedi a Gemini per inviare un prompt di testo a Gemini in Google SecOps.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
Per configurare l'azione, utilizza i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Automatic Opt-in |
Facoltativo. Se selezionato, il playbook attiva automaticamente la conversazione con Gemini per l'utente senza richiedere una conferma manuale. Abilitato per impostazione predefinita. |
Prompt |
Obbligatorio. Il prompt di testo o la domanda iniziale da inviare a Gemini. |
Output dell'azione
L'azione Chiedi a Gemini fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Approfondimento sull'entità | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Chiedi a Gemini:
{
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/users/me/conversations/db3b0fc2-94f8-42ae-b743-c3693f593269/messages/b58e3186-e697-4400-9da8-8ef252a20bd9",
"input": {
"body": "Is IP 159.138.84.217 malicious? What can you tell me about it?"
},
"responses": [
{
"blocks": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<p>The IP address 159.138.84.217 is associated with malware and threat actors.</p>\n<ul>\n<li>It is an IPv4 indicator.</li>\n<li>It is associated with BEACON malware.</li>\n<li>It is categorized as malware-Backdoor.</li>\n<li>It has a low confidence, high severity threat rating.</li>\n<li>VirusTotal's IP Address Report indicates the network for this IP is 159.138.80.0/20, and the IP is associated with HUAWEI CLOUDS in Singapore.</li>\n<li>VirusTotal's last analysis on April 22, 2025, showed 8 malicious detections out of 94 sources.</li>\n</ul>\n<p>I might have more details for a question with more context (e.g., what is the source of the IP, what type of network traffic is associated with the IP).</p>\n"
}
}
],
"references": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<ol>\n<li><a href=\"https://advantage.mandiant.com/indicator/ipv4/159.138.84.217\" target=\"_blank\">Mandiant - indicator - 159.138.84.217</a></li>\n</ol>\n"
}
}
],
"groundings": [
"IP address 159.138.84.217 malicious cybersecurity",
"IP address 159.138.84.217 threat intelligence"
]
}
],
"createTime": "2025-05-16T11:31:36.660538Z"
}
}
Messaggi di output
L'azione Chiedi a Gemini fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully executed a prompt in Google SecOps. |
L'azione è riuscita. |
Error executing action "GoogleChronicle - Ask Gemini".
Reason: ERROR_REASON |
L'azione non è riuscita.
Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella descrive i valori dell'output del risultato dello script quando utilizzi l'azione Chiedi a Gemini:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Arricchisci dominio - Ritirato
Utilizza l'azione Arricchisci dominio per arricchire i domini utilizzando le informazioni degli indicatori di compromissione in Google SecOps SIEM.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
URLHostname
Input azione
L'azione Arricchisci dominio richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Create Insight |
Se selezionata, l'azione creerà un insight contenente informazioni sulle entità. Abilitato per impostazione predefinita. |
Only Suspicious Insight |
Se selezionata, l'azione creerà un approfondimento solo per le entità contrassegnate come sospette. Non è abilitata per impostazione predefinita. Se selezioni questo parametro, devi selezionare anche
|
Lowest Suspicious Severity |
Obbligatorio. La gravità più bassa associata al dominio necessaria per contrassegnarlo come sospetto. Il valore predefinito è
|
Mark Suspicious N/A Severity |
Obbligatorio. Se selezionata e le informazioni sulla gravità non sono disponibili, l'azione contrassegna l'entità come sospetta. |
Output dell'azione
L'azione Arricchisci dominio fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Disponibile |
| Approfondimento sull'entità | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella della bacheca casi
L'azione Arricchisci dominio fornisce la seguente tabella:
Nome: ENTITY_IDENTIFIER
Colonne:
- Origine
- Gravità
- Category
- Sicurezza di sé
Arricchimento delle entità
L'azione Arricchisci dominio supporta la seguente logica di arricchimento delle entità:
| Campo di arricchimento | Logica (quando applicarle) |
|---|---|
severity |
Quando disponibile in formato JSON |
average_confidence |
Quando disponibile in formato JSON |
related_domains |
Quando disponibile in formato JSON |
categories |
Quando disponibile in formato JSON |
sources |
Quando disponibile in formato JSON |
first_seen |
Quando disponibile in formato JSON |
last_seen |
Quando disponibile in formato JSON |
report_link |
Quando disponibile in formato JSON |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci dominio con l'API Backstory:
{
{
"sources": [
{
"source": "ET Intelligence Rep List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci dominio con l'API Chronicle:
[
{
"Entity": "example.com",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
},
{
"category": "Phishing",
"firstActiveTime": null,
"lastActiveTime": "2020-11-27T14:31:37Z",
"addresses": [
{
"domain": "example.com"
},
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "high",
"confidenceScore": {
"strRawConfidenceScore": "high"
}
},
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
},
{
"metadata": {
"title": "ESET Threat Intelligence",
"description": "ESET Threat Intelligence"
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Phishing",
"activeTimerange": {
"end": "2020-11-27T14:31:37Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "High",
"rawSeverity": "High"
}
]
},
{
"metadata": {
"title": "Mandiant Active Breach Intelligence",
"description": "Mandiant Active Breach IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
}
]
}
}
]
Messaggi di output
L'azione Arricchisci dominio fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully enriched the following domain in Google Chronicle:
LIST_OF_IDS |
L'azione è riuscita. |
Error executing action "Enrich Domain". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Arricchisci dominio:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Arricchisci entità
Utilizza l'azione Arricchisci entità per eseguire query su Google SecOps per contesto e attributi aggiuntivi per i tipi di entità specificati. Questa azione migliora i dati di analisi delle minacce integrando informazioni esterne.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
DomainFile HashHostnameIP AddressURL(estrae il dominio dall'URL)UserEmail(entità utente con espressione regolare dell'email)
Input azione
L'azione Arricchisci entità richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Namespace |
Facoltativo. Il raggruppamento logico o l'ambito delle entità da arricchire. Se non è selezionata, l'arricchimento si applica alle entità nello spazio dei nomi predefinito o a tutti gli spazi dei nomi accessibili. Per essere elaborate, le entità devono appartenere a questo spazio dei nomi. |
Time Frame |
Facoltativo. Un periodo di tempo relativo (ad esempio, Questo parametro ha la precedenza su |
Start Time |
Facoltativo. L'ora di inizio del periodo di arricchimento nel formato ISO 8601. Utilizza questa opzione con |
End Time |
Facoltativo. L'ora di fine assoluta del periodo di arricchimento nel formato ISO 8601. Utilizzato con |
Output dell'azione
L'azione Arricchisci entità fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
| Campo di arricchimento | Origine (chiave JSON) | Applicabilità |
|---|---|---|
GoogleSecOps_related_entities |
Il numero di related_entities | Quando disponibile nel risultato JSON. |
GoogleSecOps_alert_count_ruleName |
{alertCounts.count} per ogni regola specifica | Quando disponibile nel risultato JSON. |
GoogleSecOps_first_seen |
metric.firstSeen |
Quando disponibile nel risultato JSON. |
GoogleSecOps_last_seen |
metric.lastSeen |
Quando disponibile nel risultato JSON. |
GoogleSecOps_flattened_key_under_entity |
Il valore della chiave, appiattito dalla struttura nidificata sotto l'oggetto
"entity". |
Quando disponibile nel risultato JSON. |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci entità:
[
{
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"domain": {
"name": "markossolomon.com",
"firstSeenTime": "1970-01-01T00:00:00Z",
"lastSeenTime": "1970-01-01T00:00:00Z",
"registrar": "NameCheap, Inc.",
"creationTime": "2013-12-06T02:41:09Z",
"updateTime": "2019-11-06T11:48:33Z",
"expirationTime": "2020-12-06T02:41:09Z",
"registrant": {
"userDisplayName": "WhoisGuard Protected",
"emailAddresses": [
"58d09cb5035042e9920408f8bafd0869.protect@whoisguard.com"
],
"personalAddress": { "countryOrRegion": "PANAMA" },
"companyName": "WhoisGuard, Inc."
}
}
}
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "npatni-sysops",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "npatni-sysops" }
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "329" },
{ "rule": "rule_testbucket", "count": "339" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "332" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 1000 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "exlab2019-ad",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "exlab2019-ad" }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.30.202.229",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "ip": ["172.30.202.229"] }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.17.0.1",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": { "namespace": "Yuriy", "asset": { "ip": ["172.17.0.1"] } },
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
}
},
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "911d039e71583a07320b32bde22f8e22",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"file": {
"sha256": "bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527",
"md5": "911d039e71583a07320b32bde22f8e22",
"sha1": "ded8fd7f36417f66eb6ada10e0c0d7c0022986e9",
"size": "278528",
"fileType": "FILE_TYPE_PE_EXE",
"names": [
"C:\\Windows\\System32\\cmd.exe",
"cmd",
"Cmd.Exe",
"C:\\Windows\\system32\\cmd.exe",
"C:\\Windows\\SYSTEM32\\cmd.exe",
"cmd.exe",
"C:\\\\Windows\\\\System32\\\\cmd.exe",
"C:\\windows\\SYSTEM32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\wjxpour4.d0f\\cmd.exe",
"c:\\Windows\\System32\\cmd.exe",
"Utilman.exe",
"c:\\windows\\system32\\cmd.exe",
"System32/cmd.exe",
"UtilityVM/Files/Windows/System32/cmd.exe",
"KerishDoctor/Data/KerishDoctor/Restore/cmd.rst",
"cmd.exe_",
"C:\\WINDOWS\\SYSTEM32\\cmd.exe",
"Cmd.exe",
"Windows/System32/cmd.exe",
"sethc.exe",
"C:\\WINDOWS\\System32\\cmd.exe",
"esRzqurX.exe",
"rofl.png",
"F:\\Windows\\SYSTEM32\\cmd.exe",
"utilman.exe",
"C:\\Windows\\system32\\CMD.exe",
"sys32exe/cmd.exe",
"cmd.txt",
"C:\\WINDOWS\\system32\\cmd.exe",
"cmd2.exe",
"Utilman.exe.sc",
"uhrHRIv8.exe",
"C:\\windows\\system32\\cmd.exe",
"submitted_file",
"C:\\Users\\user\\AppData\\Local\\Temp\\n1qo0bq3.2tn\\KerishDoctor\\Data\\KerishDoctor\\Restore\\cmd.rst",
"J6ff7z0hLYo.exe",
"N:\\Windows\\System32\\cmd.exe",
"Q:\\Windows\\System32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\cmd.exe",
"C:\\Users\\<USER>\\AppData\\Local\\Temp\\cmd.exe",
"test.exe",
"68E2F01F8DE9EFCAE9C0DD893DF0E8C34E2B5C98A6C4073C9C9E8093743D318600.blob",
"8FCVE0Kq.exe",
"cmd (7).exe",
"cmd (8).exe",
"21455_16499564_bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527_cmd.exe",
"LinX v0.9.11 (Intel)/cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\inbvmkaa.1xd\\LinX v0.9.11 (Intel)\\cmd.exe",
"cmd_b.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\sfd5bhoe.nqi\\cmd.exe",
"cMd.exe",
"Repl_Check.bat__",
"cmd.pdf",
"cmd.EXE",
"C:\\Users\\user\\AppData\\Local\\Temp\\uszjr42t.kda\\cmd.exe",
"LFepc1St.exe",
"firefox.exe",
"3BcnNlWV.exe",
"Utilman.exebak",
"utilman1.exe",
"1.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\ispvscgp.ep2\\sys32exe\\cmd.exe",
"cmd_1771019736291028992.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\xijgwqvd.54g\\cmd.exe",
"Sethc.exe",
"\\Device\\CdRom1\\DANFE352023067616112\\DANFE352023067616112.EXE",
"DANFE352023067616112.exe",
"file.exe",
"DANFE352023067616112/DANFE352023067616112.exe",
"C:\\Windows\\SYSTEM32\\Cmd.exe",
"pippo.exe",
"C:\\Windows\\System32\\sethc.exe",
"cmd.exe-bws024-windowsfolder",
"whatever.exe",
"sethc.exe.bak",
"S71dbOR1.exe",
"F:\\windows\\SYSTEM32\\cmd.exe",
"L6puhWL7.exe",
"DANFE357986551413927.exe",
"DANFE357666506667634.exe",
"\\Device\\CdRom1\\DANFE357666506667634\\DANFE357666506667634.EXE",
"\\Device\\CdRom1\\DANFE357986551413927\\DANFE357986551413927.EXE",
"\\Device\\CdRom1\\DANFE358567378531506\\DANFE358567378531506.EXE",
"\\Device\\CdRom1\\HtmlFactura3f48daa069f0e42253194ca7b51e7481DPCYKJ4Ojk\\HTMLFACTURA3F48DAA069F0E42253194CA7B51E7481DPCYKJ4OJK.EXE",
"\\Device\\CdRom1\\DANFE357410790837014\\DANFE357410790837014.EXE",
"\\Device\\CdRom1\\DANFE357702036539112\\DANFE357702036539112.EXE",
"winlogon.exe",
"AccessibilityEscalation.A' in file 'utilman.exe'",
"qpl9AqT0.exe",
"C:\\windows\\system32\\CMD.exe",
"C:\\po8az\\2po9hmc\\4v1b5.exe",
"batya.exe",
"nqAwJaba.exe",
"\\Device\\CdRom1\\DANFE356907191810758\\DANFE356907191810758.EXE",
"/Volumes/10_11_2023/DANFE356907191810758/DANFE356907191810758.exe",
"/Volumes/09_21_2023/DANFE357986551413927/DANFE357986551413927.exe",
"\\Device\\CdRom1\\DANFE355460800350113\\DANFE355460800350113.EXE",
"/Volumes/09_19_2023/DANFE355460800350113/DANFE355460800350113.exe",
"DANFE352429512050669.exe",
"/Volumes/04_15_2023/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3.exe"
],
"firstSeenTime": "2024-12-15T09:07:02Z",
"lastSeenTime": "2025-07-18T07:43:59.045Z",
"lastAnalysisTime": "2025-07-16T10:06:40Z",
"signatureInfo": {
"sigcheck": {
"verificationMessage": "Signed",
"verified": true,
"signers": [{ "name": "Microsoft Windows" }]
}
},
"firstSubmissionTime": "2025-07-15T16:30:27Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "329" },
{ "rule": "rule_testbucket", "count": "345" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "326" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{ "alertCount": 31 },
{ "alertCount": 111 },
{ "alertCount": 109 },
{ "alertCount": 82 },
{ "alertCount": 86 },
{ "alertCount": 98 },
{ "alertCount": 86 },
{ "alertCount": 85 },
{ "alertCount": 92 },
{ "alertCount": 89 },
{ "alertCount": 90 },
{ "alertCount": 41 }
],
"bucketSize": "172800s"
},
"prevalenceResult": [
{ "prevalenceTime": "2025-01-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-16T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-17T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-18T00:00:00Z", "count": 2 }
],
"relatedEntities": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiFQoGCPbso7wGEgsIv_bnwwYQwMq6FQ",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"hostname": "exlab2019-ad",
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIVCgYI9uyjvAYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"ip": ["172.30.202.229"],
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
}
]
}
},
{
"Entity": "tencent.com",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"domain": {
"name": "tencent.com",
"firstSeenTime": "2025-01-14T14:01:00Z",
"lastSeenTime": "2025-01-14T15:02:00Z",
"registrar": "MarkMonitor Information Technology (Shanghai) Co., Ltd.",
"creationTime": "1998-09-14T04:00:00Z",
"updateTime": "2024-08-20T08:04:01Z",
"expirationTime": "2032-09-13T04:00:00Z",
"registrant": {
"emailAddresses": [""],
"personalAddress": { "countryOrRegion": "CHINA" },
"companyName": "\u6df1\u5733\u5e02\u817e\u8baf\u8ba1\u7b97\u673a\u7cfb\u7edf\u6709\u9650\u516c\u53f8"
}
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "00:50:56:b6:34:86",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "mac": ["00:50:56:b6:34:86"] }
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
}
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
}
]
Messaggi di output
L'azione Arricchisci entità può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Arricchisci entità:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Arricchisci IP - Ritirato
Utilizza l'azione Arricchisci IP per arricchire le entità IP utilizzando le informazioni degli indicatori di compromissione in Google SecOps SIEM.
Questa azione viene eseguita sull'entità "Indirizzo IP".
Input azione
L'azione Arricchisci IP richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Create Insight |
Facoltativo. Se selezionata, l'azione crea un insight che contiene informazioni sulle entità.Abilitato per impostazione predefinita. |
Only Suspicious Insight |
Facoltativo. Se selezionata, l'azione crea approfondimenti solo per le entità contrassegnate come sospette.Non è abilitata per impostazione predefinita. Se selezioni questo parametro, devi selezionare anche |
Lowest Suspicious Severity |
Obbligatorio. La gravità più bassa associata all'indirizzo IP per contrassegnarlo come sospetto. Il valore predefinito è
|
Mark Suspicious N/A Severity |
Obbligatorio. Se selezionata e le informazioni sulla gravità non sono disponibili, l'azione contrassegna l'entità come sospetta. |
Output dell'azione
L'azione Arricchisci IP fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella della bacheca casi
Nome: ENTITY_IDENTIFIER
Colonne:
- Origine
- Gravità
- Category
- Sicurezza di sé
- Domini correlati
Arricchimento delle entità
L'azione Arricchisci IP supporta la seguente logica di arricchimento delle entità:
| Campo di arricchimento | Logica (quando applicarle) |
|---|---|
severity |
Quando disponibile in formato JSON |
average_confidence |
Quando disponibile in formato JSON |
related_domains |
Quando disponibile in formato JSON |
categories |
Quando disponibile in formato JSON |
sources |
Quando disponibile in formato JSON |
first_seen |
Quando disponibile in formato JSON |
last_seen |
Quando disponibile in formato JSON |
report_link |
Quando disponibile in formato JSON |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci IP con l'API Backstory:
{
{
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci IP con l'API Chronicle:
[
{
"Entity": "192.0.2.121",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "low",
"confidenceScore": {
"strRawConfidenceScore": "67"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "67",
"rawSeverity": "Low"
}
]
}
]
}
}
]
Messaggi di output
L'azione Arricchisci IP fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully enriched the following IPs from Google Chronicle:
LIST_OF_IPS |
L'azione è riuscita. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella descrive i valori dell'output del risultato dello script quando utilizzi l'azione Arricchisci IP:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Esegui RetroHunt
Utilizza l'azione Esegui RetroHunt per eseguire una RetroHunt per una regola in Google SecOps.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Esegui ricerca retrospettiva richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Rule ID |
Obbligatorio. L'ID della regola per cui eseguire una RetroHunt. Utilizza il formato |
Time Frame |
Facoltativo. Un periodo per recuperare i risultati. I valori possibili sono:
Se è selezionato Il valore predefinito è |
Start Time |
L'ora di inizio dei risultati nel formato ISO 8601. Questo parametro è obbligatorio se il parametro |
End Time |
L'ora di fine dei risultati in formato ISO 8601.
Se non imposti un valore e selezioni il valore |
Output dell'azione
L'azione Esegui ricerca retrospettiva fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Approfondimento sull'entità | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Execute Retrohunt con l'API Backstory:
{
"retrohuntId": "oh_d738c8ea-8fd7-4cc1-b43d-25835b8e1785",
"ruleId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497",
"versionId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497@v_1612472807_179679000",
"eventStartTime": "2021-01-14T23:00:00Z",
"eventEndTime": "2021-01-30T23:00:00Z",
"retrohuntStartTime": "2021-02-08T02:40:59.192113Z",
"state": "RUNNING"
}
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Execute Retrohunt con l'API Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/RetrohuntMetadata",
"retrohunt": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID/retrohunts/RETROHUNT_ID",
"executionInterval": {
"startTime": "2025-01-22T12:16:20.963182Z",
"endTime": "2025-01-23T12:16:20.963182Z"
}
},
"retrohuntId": "RETROHUNT_ID",
"ruleId": "RULE_ID",
"versionId": "VERSION_ID",
"eventStartTime": "2025-01-22T12:16:20.963182Z",
"eventEndTime": "2025-01-23T12:16:20.963182Z"
}
Messaggi di output
L'azione Esegui retrocaccia fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully executed a retrohunt for the provided rule in Google
Chronicle.
|
L'azione è riuscita. |
Error executing action "Execute Retrohunt". Reason:
ERROR_REASON |
L'azione non è riuscita.
Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori per l'output del risultato dello script quando si utilizza l'azione Esegui retrocaccia:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Esegui query UDM
Utilizza l'azione Esegui query UDM per eseguire una query UDM personalizzata in Google SecOps.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Esegui query UDM richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Query String |
Obbligatorio. La query da eseguire in Google SecOps. |
Time Frame |
Facoltativo. Un periodo per recuperare i risultati. I valori possibili sono:
Se è selezionato Il valore predefinito è |
Start Time |
Facoltativo. L'ora di inizio dei risultati in formato ISO 8601 (ad esempio,
Questo parametro è obbligatorio se il parametro L'intervallo di tempo massimo è 90 giorni. |
End Time |
Facoltativo. L'ora di fine dei risultati in formato ISO 8601 (ad esempio,
Se non imposti un valore e
il parametro L'intervallo di tempo massimo è 90 giorni. |
Max Results To Return |
Facoltativo. Il numero di risultati da restituire per una singola query. Il valore massimo è Il valore predefinito è |
Output dell'azione
L'azione Esegui query UDM fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando utilizzi l'azione Esegui query UDM:
{
"events":[
"event":{
"metadata":{
"eventTimestamp":"2022-01-20T09:15:15.687Z",
"eventType":"USER_LOGIN",
"vendorName":"Example Vendor",
"productName":"Example Product",
"ingestedTimestamp":"2022-01-20T09:45:07.433587Z"
},
"principal":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.0"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
],
"location":{
"city":"San Francisco",
"state":"California",
"countryOrRegion":"US"
},
"asset":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.1",
"203.0.113.1",
"203.0.113.1"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
]
}
},
"target":{
"user":{
"userid":"Example",
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-4712406912-7108061610-2717800068-993683",
"emailAddresses":[
"example@example.com",
"admin.example@example.com"
],
"employeeId":"2406187",
"productObjectId":"f93f1540-4935-4266-aa8e-a750a319aa1c",
"firstName":"Example",
"lastName":"User",
"phoneNumbers":[
"555-01-75"
],
"title":"Executive Assistant",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
],
"managers":[
{
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-6051382818-4135626959-8120238335-834071",
"emailAddresses":[
"user@example.com"
],
"employeeId":"5478500",
"productObjectId":"8b3924d5-6157-43b3-857b-78aa6bd94705",
"firstName":"User",
"lastName":"Example",
"phoneNumbers":[
"555-01-75"
],
"title":"Chief Technology Officer",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
]
}
]
},
"ip":[
"198.51.100.1"
],
"email":"email@example.com",
"application":"Example Sign In"
},
"securityResult":[
{
"summary":"Successful Login",
"action":[
"ALLOW"
]
}
],
"extensions":{
"auth":{
"type":"SSO"
}
}
},
"eventLogToken":"96f23eb9ffaa9f7e7b0e2ff5a0d2e34c,1,1642670115687000,USER,|USER_LOGIN"
]
}
Messaggi di output
L'azione Esegui query UDM fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Execute UDM Query". Reason:
ERROR_REASON
|
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action "Execute UDM Query". Reason: you've reached a
rate limit. Please wait for several minutes and try again. |
L'azione non è riuscita. Attendi diversi minuti prima di eseguire nuovamente l'azione. |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Esegui query UDM:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Ottieni tabelle di dati
Utilizza l'azione Recupera tabelle di dati per recuperare le tabelle di dati disponibili in Google SecOps.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Ottieni tabelle di dati richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Filter Key |
Facoltativo. La chiave in base a cui filtrare L'opzione I valori possibili sono: NameDescription |
Filter Logic |
Facoltativo. La logica di filtro da applicare. I valori possibili sono: Equal (per le corrispondenze esatte)Contains(per le corrispondenze sottostringa) |
Filter Value |
Facoltativo. Il valore da utilizzare nel filtro. I valori possibili sono: Equal (per le corrispondenze esatte)Contains(per le corrispondenze sottostringa)
Se non viene fornito nulla, il filtro non verrà applicato. |
Expanded Rows |
Facoltativo. Se selezionata, la risposta include righe dettagliate della tabella dei dati. Non è abilitata per impostazione predefinita. |
Max Data Tables To Return |
Obbligatorio. Il numero di tabelle di dati da restituire. Il valore massimo è |
Max Data Table Rows To Return |
Obbligatorio. La quantità di righe della tabella di dati da restituire. Utilizza questo parametro solo se Il valore massimo è |
Output dell'azione
L'azione Ottieni tabelle di dati fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Get Data Tables:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table",
"displayName": "data_table",
"createTime": "2025-05-14T12:52:50.064133Z",
"updateTime": "2025-05-14T13:13:48.631442Z",
"columnInfo": [
{
"originalColumn": "columnName1",
"columnType": "STRING"
},
{
"columnIndex": 1,
"originalColumn": "columnName2",
"columnType": "STRING"
},
{
"columnIndex": 2,
"originalColumn": "columnName3",
"columnType": "STRING"
}
],
"dataTableUuid": "c3cce57bb8d940d5ac4523c37d540436",
"approximateRowCount": "2",
"rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
Messaggi di output
L'azione Ottieni tabelle di dati fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully found data tables for the provided criteria in Google
SecOps |
L'azione è riuscita. |
Error executing action "Get Data Tables". Reason:
ERROR_REASON |
L'azione non è riuscita.
Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella descrive i valori dell'output del risultato dello script quando si utilizza l'azione Recupera tabelle di dati:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Recupera dettagli rilevamento
Utilizza l'azione Ottieni dettagli rilevamento per recuperare informazioni su un rilevamento in Google SecOps.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Ottieni dettagli rilevamento richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Rule ID |
Obbligatorio. L'ID della regola relativa al rilevamento. Utilizza il formato |
Detection ID |
Obbligatorio. L'ID del rilevamento per cui recuperare i dettagli. Se vengono forniti caratteri speciali, l'azione non ha esito negativo, ma restituisce un elenco di rilevamenti. |
Output dell'azione
L'azione Ottieni dettagli rilevamento fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni dettagli rilevamento:
{
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "singleEventRule2",
"urlBackToProduct":
"https://INSTANCE/ruleDetections?
ruleId=ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d&selectedList=RuleDetectionsViewTimeline&
selectedParentDetectionId=de_ce594791-09ed-9681-27fa-3b7c8fa6054c&
selectedTimestamp=2020-12-03T16: 50: 47.647245Z","ruleId": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d",
"ruleVersion": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d@v_1605892822_687503000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT"
}
],
"createdTime": "2020-12-03T19:19:21.325134Z",
"id": "de_ce594791-09ed-9681-27fa-3b7c8fa6054c",
"timeWindow": {
"startTime": "2020-12-03T16:50:47.647245Z",
"endTime": "2020-12-03T16:50:47.647245Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2020-12-03T16:50:47.647245Z",
"collectedTimestamp": "2020-12-03T16:50:47.666064010Z",
"eventType": "NETWORK_DNS",
"productName": "ProductName",
"ingestedTimestamp": "2020-12-03T16:50:49.494542Z"
},
"principal": {
"ip": [
"192.0.2.1"
]
},
"target": {
"ip": [
"203.0.113.1"
]
},
"securityResult": [
{
"action": [
"UNKNOWN_ACTION"
]
}
],
"network": {
"applicationProtocol": "DNS",
"dns": {
"questions": [
{
"name": "example.com",
"type": 1,
"class": 1
}
],
"id": 12345,
"recursionDesired": true
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2020-12-03T16:50:47.647245Z"
}
Messaggi di output
L'azione Ottieni dettagli rilevamento fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully fetched information about the detection with ID
DETECTION_ID in Google Chronicle. |
L'azione è riuscita. |
Error executing action "Get Detection Details". Reason:
ERROR_REASON |
L'azione non è riuscita.
Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Ottieni dettagli rilevamento:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recuperare gli elenchi di riferimento
Utilizza l'azione Recupera elenchi di riferimenti per recuperare gli elenchi di riferimenti disponibili in Google SecOps.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Ottieni elenchi di riferimento richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Filter Key |
La chiave in base alla quale filtrare.
I valori possibili sono:
|
Filter Logic |
La logica di filtro da applicare. I valori possibili sono: Equal (per le corrispondenze esatte)Contains(per le corrispondenze sottostringa)Il valore predefinito è |
Filter Value |
Il valore da utilizzare nel filtro.
I valori possibili sono: Equal (per le corrispondenze esatte)Contains(per le corrispondenze sottostringa)
Se non viene fornito alcun valore, il filtro non viene applicato. |
Expanded Details |
Se selezionata, l'azione restituisce informazioni dettagliate sugli elenchi di riferimenti.
Non è abilitata per impostazione predefinita. |
Max Reference Lists To Return |
Il numero di elenchi di riferimenti da restituire.
Il valore predefinito è |
Output dell'azione
L'azione Ottieni elenco di riferimenti fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella della bacheca casi
In una bacheca richieste, l'opzione Ottieni elenchi di riferimenti fornisce la seguente tabella:
Nome: Elenchi di riferimento disponibili
Colonne:
- Nome
- Descrizione
- Tipo
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Get Reference Lists con l'API Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Get Reference Lists con l'API Chronicle:
[
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_ID",
"displayName": "REFERENCE_LIST_ID",
"revisionCreateTime": "2025-01-09T15:53:10.851775Z",
"description": "Test reference list",
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-09T15:53:10.851775Z"
}
]
Messaggi di output
L'azione Ottieni elenchi di riferimenti fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action
ACTION_NAME. Reason:
ERROR_REASON
|
L'azione non è riuscita.
Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action
ACTION_NAME. Reason: "Invalid
value was provided for "Max Reference Lists to Return":
PROVIIDED_VALUE. Positive number should be provided. |
L'azione non è riuscita.
Controlla il valore del parametro |
Script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Recupera elenchi di riferimento:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Ottieni dettagli regola
Utilizza l'azione Ottieni dettagli regola per recuperare informazioni su una regola in Google SecOps.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Recupera dettagli regola richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Rule ID |
Obbligatorio. L'ID della regola per cui recuperare i dettagli. |
Output dell'azione
L'azione Recupera dettagli regola fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Get Rule Details con l'API Backstory:
{
"ruleId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f",
"versionId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f@v_1602631093_146879000",
"ruleName": "SampleRule",
"metadata": {
"description": "Sample Description of the Rule",
"author": "author@example.com"
},
"ruleText": "rule SampleRule {
meta:
description = \"Sample Description of the Rule\"
author = \"author@example.com\"
events:
// This will just generate lots of detections
$event.metadata.event_type = \"NETWORK_HTTP\"
condition:
$event
} ",
"liveRuleEnabled": true,
"versionCreateTime": "2020-10-13T23:18:13.146879Z",
"compilationState": "SUCCEEDED"
}
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni dettagli regola con l'API Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID",
"revisionId": "v_1733917896_973567000",
"displayName": "Test_rule_SingleEvent",
"text": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"author": "example_user",
"metadata": {
"author": "example_user",
"description": "windowed single event example rule",
"severity": null
},
"createTime": "2024-12-11T11:36:18.192127Z",
"revisionCreateTime": "2024-12-11T11:51:36.973567Z",
"compilationState": "SUCCEEDED",
"type": "SINGLE_EVENT",
"allowedRunFrequencies": [
"LIVE",
"HOURLY",
"DAILY"
],
"etag": "CMj55boGEJjondAD",
"ruleId": "RULE_ID",
"versionId": "RULE_ID@v_1733917896_973567000",
"ruleName": "Test_rule_SingleEvent",
"ruleText": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"ruleType": "SINGLE_EVENT",
"versionCreateTime": "2024-12-11T11:51:36.973567Z"
}
Messaggi di output
L'azione Recupera dettagli regola fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully fetched information about the rule with ID
RULE_ID in Google Chronicle.
|
L'azione è riuscita. |
Error executing action "Get Rule Details". Reason:
ERROR_REASON
|
L'azione non è riuscita.
Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori dell'output dei risultati dello script quando utilizzi l'azione Ottieni dettagli regola:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Is Value In Data Table
Utilizza Is Value In Data Table (Il valore è nella tabella di dati) per verificare se i valori forniti si trovano in una tabella di dati in Google SecOps.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Il valore è nella tabella dei dati richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Data Table Name |
Obbligatorio. Il nome visualizzato della tabella di dati da cercare. |
Column |
Facoltativo. Un elenco separato da virgole di colonne in cui eseguire la ricerca. Se non viene fornito alcun valore, l'azione esegue la ricerca in tutte le colonne. |
Values |
Obbligatorio. Un elenco di valori separati da virgole da cercare. |
Case Insensitive Search |
Facoltativo. Se selezionata, la ricerca non distingue tra maiuscole e minuscole. Abilitato per impostazione predefinita. |
Max Data Table Rows To Return |
Obbligatorio. Il numero di righe della tabella di dati da restituire per valore corrispondente. Il valore massimo è |
Output dell'azione
L'azione Il valore è nella tabella dati fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Il valore è presente nella tabella dei dati:
[{
"Entity": "asda",
"EntityResult": {
"is_found": true,
"matched_rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
}]
Messaggi di output
L'azione Il valore è nella tabella dati fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully searched provided values in the data table {data table}
in Google SecOps.
|
L'azione è riuscita. |
| Errore durante l'esecuzione dell'azione "Is Value In Data Table". Motivo: ERROR_REASON | L'azione non è riuscita.
Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action "Is Value In Data Table". Reason: the
following data tables were not found in:
DATA_TABLE_NAME:
COLUMN_NAMES. Please check the
spelling.
|
L'azione non è riuscita. |
Error executing action "Is Value In Data Table". Reason:
This action is not supported for Backstory API configuration. Please update
the integration configuration.
|
L'azione non è riuscita. |
Risultato dello script
La seguente tabella descrive i valori per l'output del risultato dello script quando si utilizza l'azione Il valore è presente nella tabella di dati:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Il valore è presente nell'elenco di riferimento
Utilizza l'azione Il valore è presente nell'elenco di riferimento per verificare se i valori forniti sono presenti negli elenchi di riferimento in Google SecOps.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Il valore è nell'elenco di riferimento richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Reference List Names |
Obbligatorio. Un elenco separato da virgole di nomi di elenchi di riferimenti da cercare. |
Values |
Obbligatorio. Un elenco di valori separati da virgole da cercare. |
Case Insensitive Search |
Facoltativo. Se selezionata, la ricerca non distingue tra maiuscole e minuscole. |
Output dell'azione
L'azione Il valore è presente nell'elenco di riferimento fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Is Value In Reference List con l'API Backstory:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Is Value In Reference List con l'API Chronicle:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
Messaggi di output
L'azione Il valore è presente nell'elenco di riferimento fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully searched provided values in the reference lists in
Google Chronicle.
|
L'azione è riuscita. |
| Errore durante l'esecuzione dell'azione "Il valore è nell'elenco di riferimento". Motivo: ERROR_REASON | L'azione non è riuscita.
Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action "Is Value In Reference List". Reason: the
following reference lists were not found in Google Chronicle:
MISSING_REFERENCE_LIST_NAME(S).
Please use the action "Get Reference Lists" to see what reference lists are
available.
|
L'azione non è riuscita. Esegui l'azione Recupera elenchi di riferimento per controllare gli elenchi disponibili. |
Risultato dello script
La tabella seguente descrive i valori per l'output del risultato dello script quando si utilizza l'azione Il valore è presente nell'elenco di riferimento:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Elenco asset
Utilizza l'azione Elenca asset per elencare gli asset in Google SecOps SIEM in base alle entità correlate in un periodo di tempo specificato.
Questa azione supporta solo gli hash MD5, SHA-1 e SHA-256.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
URLIP AddressHash
Input azione
L'azione Elenca asset richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Max Hours Backwards |
Il numero di ore prima di ora per recuperare gli asset.
Il valore predefinito è |
Create Insight |
Se selezionata, l'azione crea un insight con informazioni
sulle entità. Abilitato per impostazione predefinita. |
Max Assets To Return |
Il numero di asset da restituire. Il valore predefinito è
|
Time Frame |
Facoltativo. Un periodo per recuperare i risultati. I valori possibili sono:
Se è selezionato Il valore predefinito è |
Start Time |
L'ora di inizio nel formato ISO 8601. Questo parametro è obbligatorio se il
parametro |
End Time |
L'ora di fine nel formato ISO 8601.
Se non imposti un valore e imposti il parametro |
Output dell'azione
L'azione Elenca asset fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella della bacheca casi
Nome: ENTITY_IDENTIFIER
Colonne:
- Nome host
- Indirizzo IP
- First Seen Artifact
- Ultimo artefatto visualizzato
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Elenca asset con l'API Backstory:
{
"assets": [
{
"asset": {
"hostname": "example"
},
"firstSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-02-28T09:18:15.675Z"
},
"lastSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-09-24T06:43:59Z"
}
}
],
"uri": [
"https://INSTANCE/domainResults?domain=www.example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2020-09-27T12%3A07%3A34.166830443Z"
]
}
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione List Assets con l'API Chronicle:
[
{
"Entity": "192.0.2.229",
"EntityResult": {
"assets": [
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Open Source Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2024-09-20T14:14:07.843Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Open Source Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "OPEN_SOURCE_INTEL_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "ex ",
"valueType": "DOMAIN_NAME"
}
},
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Active Breach Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2023-07-05T02:42:52.935Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Active Breach Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "MANDIANT_ACTIVE_BREACH_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "example.com",
"valueType": "DOMAIN_NAME"
}
}
],
"uri": "https://INSTANCE.backstory.chronicle.security/destinationIpResults?ADDRESS=192.0.2.229&selectedList=IpViewDistinctAssets&referenceTime=2025-01-23T11%3A16%3A24.517449Z"
}
}
]
Messaggi di output
L'azione Elenca asset fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully listed related assets for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
L'azione è riuscita. |
Error executing action "List Assets". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Elenca asset:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Elenco eventi
Utilizza l'azione Elenca eventi per elencare gli eventi su un determinato asset in un periodo di tempo specificato.
Questa azione può recuperare solo 10.000 eventi.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
IP addressMAC addressHostname
Input azione
L'azione Elenca eventi richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Event Types |
Un elenco separato da virgole di tipi di eventi.
Se non viene fornito alcun valore, vengono recuperati tutti i tipi di eventi. Per un elenco di tutti i valori possibili, vedi Valori possibili per il tipo di evento. |
Time Frame |
Il periodo di tempo specificato. Ti consigliamo di mantenerlo il più piccolo possibile per ottenere risultati migliori.
Se è selezionato Se è selezionato I valori possibili sono:
Il valore predefinito è |
Start Time |
L'ora di inizio nel formato ISO 8601. Questo parametro è obbligatorio se il parametro |
End Time |
L'ora di fine nel formato ISO 8601. Se non viene fornito alcun valore e il parametro Questo parametro accetta il valore |
Reference Time |
L'ora di riferimento per la ricerca di eventi.
Se non viene fornito alcun valore, l'azione utilizza l'ora di fine come riferimento. |
Output |
Obbligatorio. Il formato di output. I valori possibili sono:
|
Max Events To Return |
Il numero di eventi da elaborare per ogni tipo di entità. Il valore predefinito è |
Valori possibili per il tipo di evento
I valori possibili per il parametro Event Type sono i seguenti:
EVENTTYPE_UNSPECIFIEDPROCESS_UNCATEGORIZEDPROCESS_LAUNCHPROCESS_INJECTIONPROCESS_PRIVILEGE_ESCALATIONPROCESS_TERMINATIONPROCESS_OPENPROCESS_MODULE_LOADREGISTRY_UNCATEGORIZEDREGISTRY_CREATIONREGISTRY_MODIFICATIONREGISTRY_DELETIONSETTING_UNCATEGORIZEDSETTING_CREATIONSETTING_MODIFICATIONSETTING_DELETIONMUTEX_UNCATEGORIZEDMUTEX_CREATIONFILE_UNCATEGORIZEDFILE_CREATIONFILE_DELETIONFILE_MODIFICATIONFILE_READFILE_COPYFILE_OPENFILE_MOVEFILE_SYNCUSER_UNCATEGORIZEDUSER_LOGINUSER_LOGOUTUSER_CREATIONUSER_CHANGE_PASSWORDUSER_CHANGE_PERMISSIONSUSER_STATSUSER_BADGE_INUSER_DELETIONUSER_RESOURCE_CREATIONUSER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_UPDATE_PERMISSIONSUSER_COMMUNICATIONUSER_RESOURCE_ACCESSUSER_RESOURCE_DELETIONGROUP_UNCATEGORIZEDGROUP_CREATIONGROUP_DELETIONGROUP_MODIFICATIONEMAIL_UNCATEGORIZEDEMAIL_TRANSACTIONEMAIL_URL_CLICKNETWORK_UNCATEGORIZEDNETWORK_FLOWNETWORK_CONNECTIONNETWORK_FTPNETWORK_DHCPNETWORK_DNSNETWORK_HTTPNETWORK_SMTPSTATUS_UNCATEGORIZEDSTATUS_HEARTBEATSTATUS_STARTUPSTATUS_SHUTDOWNSTATUS_UPDATESCAN_UNCATEGORIZEDSCAN_FILESCAN_PROCESS_BEHAVIORSSCAN_PROCESSSCAN_HOSTSCAN_VULN_HOSTSCAN_VULN_NETWORKSCAN_NETWORKSCHEDULED_TASK_UNCATEGORIZEDSCHEDULED_TASK_CREATIONSCHEDULED_TASK_DELETIONSCHEDULED_TASK_ENABLESCHEDULED_TASK_DISABLESCHEDULED_TASK_MODIFICATIONSYSTEM_AUDIT_LOG_UNCATEGORIZEDSYSTEM_AUDIT_LOG_WIPESERVICE_UNSPECIFIEDSERVICE_CREATIONSERVICE_DELETIONSERVICE_STARTSERVICE_STOPSERVICE_MODIFICATIONGENERIC_EVENTRESOURCE_CREATIONRESOURCE_DELETIONRESOURCE_PERMISSIONS_CHANGERESOURCE_READRESOURCE_WRITTENANALYST_UPDATE_VERDICTANALYST_UPDATE_REPUTATIONANALYST_UPDATE_SEVERITY_SCOREANALYST_UPDATE_STATUSANALYST_ADD_COMMENT
Output dell'azione
L'azione Elenca eventi fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Elenca eventi:
{
"statistics": {
"NETWORK_CONNECTION": 10
}
{
"events": [
{
"metadata": {
"eventTimestamp": "2020-09-28T14:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
},
{
"metadata": {
"eventTimestamp": "2020-09-28T17:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
}
],
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=user-example-pc&referenceTime=2020-09-28T17%3A00%3A00Z&selectedList=AssetViewTimeline&startTime=2020-09-28T14%3A20%3A00Z&endTime=2020-09-28T20%3A20%3A00Z"
]
}
}
Messaggi di output
L'azione Elenca eventi fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully listed related events for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
L'azione è riuscita. |
Error executing action "List Events". Reason:
ERROR_REASON
|
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action "List Events". Reason: invalid event type
is provided. Please check the spelling. Supported event types:
SUPPORTED_EVENT_TYPES
|
L'azione non è riuscita.
Controlla l'ortografia. |
Risultato dello script
La seguente tabella descrive i valori per l'output del risultato dello script quando utilizzi l'azione Elenca eventi:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Elenca gli IOC
Utilizza l'azione Elenca indicatori di compromissione per elencare tutti gli indicatori di compromissione rilevati nella tua azienda in un intervallo di tempo specificato.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Elenca indicatori di compromissione richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Start Time |
L'ora di inizio dei risultati nel formato ISO 8601. |
Max IoCs to Fetch |
Il numero massimo di indicatori di compromissione da restituire.
L'intervallo è Il valore predefinito è |
Output dell'azione
L'azione Elenca indicatori di compromissione fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella della bacheca casi
Colonne:
- Dominio
- Category
- Origine
- Sicurezza di sé
- Gravità
- Ora di importazione IOC
- Ora della prima visualizzazione dell'IoC
- Ora dell'ultima visualizzazione dell'IoC
- URI
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Elenca indicatori di compromissione:
{
"matches":[
{
"artifact":{
"domainName":"www.example.com"
},
"firstSeenTime":"2018-05-25T20:47:11.048998Z",
"iocIngestTime":"2019-08-14T21:00:00Z",
"lastSeenTime":"2019-10-24T16:19:46.880830Z",
"sources":[
{
"category":"Spyware Reporting Server",
"confidenceScore":{
"intRawConfidenceScore":0,
"normalizedConfidenceScore":"Low"
},
"rawSeverity":"Medium",
"source":"Example List"
}
],
"uri":["URI"]
}
],
"moreDataAvailable":true
}
Messaggi di output
L'azione Elenca indicatori di compromissione fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully listed IOCs from the provided timeframe in Google
Chronicle. |
L'azione è riuscita. |
Error executing action "List IOCs". Reason:
ERROR_REASON.
|
L'azione non è riuscita.
Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando si utilizza l'azione Elenca indicatori di compromissione:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Ricerca avvisi simili
Utilizza l'azione Cerca avvisi simili per cercare avvisi simili in Google SecOps.
Questa azione funziona solo con gli avvisi di Google SecOps ricevuti dal connettore di avvisi di Chronicle.
Input azione
L'azione Cerca avvisi simili richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Time Frame |
Il periodo di tempo specificato per i risultati. Per ottenere i migliori risultati, mantieni
l'intervallo di tempo il più ristretto possibile.
I valori possibili sono:
|
IOCs / Assets |
Obbligatorio. Un elenco separato da virgole di indicatori di compromissione o asset da trovare negli avvisi. L'azione esegue una ricerca separata per ogni elemento fornito. |
Similarity By |
Gli attributi da utilizzare per trovare avvisi simili. I valori possibili sono:
Il valore predefinito è |
Come funziona il parametro Somiglianza per
Il parametro Similarity By viene applicato in modo diverso agli avvisi basati su regole e agli avvisi esterni.
Se è selezionato
Alert Name, Alert Type and ProductoAlert Name, Alert Type:Per gli avvisi esterni, l'azione cerca altri avvisi esterni che hanno lo stesso nome.
Per gli avvisi delle regole, l'azione elabora gli avvisi generati dalla stessa regola.
Se è selezionato
Product:- L'azione elabora gli avvisi provenienti dallo stesso prodotto, indipendentemente dal fatto che si tratti di avvisi relativi a regole o avvisi esterni.
Ad esempio, un avviso proveniente da Crowdstrike verrà abbinato solo ad altri avvisi di Crowdstrike.
Se è selezionato
Only IOCs/Assets:L'azione corrisponde agli avvisi in base agli IOC forniti nel parametro
IOCs/Assets. Cerca questi indicatori negli avvisi delle regole e negli avvisi esterni.Un avviso IOC può eseguire questa azione solo se questa opzione è selezionata. Se viene fornita un'altra opzione, l'azione predefinita è
Only IOCs/Assets.
L'azione Cerca avvisi simili è uno strumento versatile per analizzare gli avvisi. Consente agli analisti di correlare gli avvisi dello stesso periodo di tempo ed estrarre gli indicatori di compromissione pertinenti per determinare se un incidente è un vero positivo.
Output dell'azione
L'azione Cerca avvisi simili fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Cerca avvisi simili:
{
"count": 123,
"distinct": [
{
"first_seen": "time of the first alert that matched our conditions",
"last_seen": "time of the last alert that matched our conditions",
"product_name": "product name",
"used_ioc_asset": "what user provided in the parameter IOCs and Assets",
"name": "Alert Name/Rule Name",
"hostnames": "csv list of unique hostnames that were found in alerts",
"urls": "csv list of unique urls that were found in alerts",
"ips": "csv list of unique ips that were found in alerts",
"subjects": "csv list of unique subjects that were found in alerts",
"users": "csv list of unique users that were found in alerts",
"email_addresses": "csv list of unique email_addresses that were found in alerts",
"hashes": "csv list of unique hashes that were found in alerts",
"processes": "csv list of unique processes that were found in alerts"
"rule_urls": ["Chronicle URL from API response for Rule"]
"count": 123
}
],
"processed_alerts": 10000,
"run_time": "how long it took to run the action or at least API request",
"EXTERNAL_url": "Chronicle URL from API response for EXTERNAL"
}
Messaggi di output
L'azione Cerca avvisi simili fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Lookup Similar Alerts". Reason:
ERROR_REASON
|
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Error executing action "Lookup Similar Alerts". Reason: all of the
retries are exhausted. Please wait for a minute and try again.
|
L'azione non è riuscita. Attendi un minuto prima di eseguire nuovamente l'azione. |
Risultato dello script
La tabella seguente descrive i valori dell'output dei risultati dello script quando utilizzi l'azione Cerca avvisi simili:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Tabella della bacheca casi
Nome tabella: IOC/ASSET_IDENTIFIER
Colonne della tabella:
- Prodotto
- Nomi host
- IP
- Utenti
- Indirizzi email
- Oggetti
- URL
- Hash
- Processi
- Prima visualizzazione
- Ultimo accesso
- Nome avviso
- Generali
Link alla bacheca richieste
L'azione Cerca avvisi simili può restituire i seguenti link:
- CBN: GENERATED_LINK_BASED_ON_IU_ROOT_URL
- Regola: GENERATED_LINK_BASED_ON_IU_ROOT_URL
Dindin
Utilizza l'azione Ping per testare la connettività a Google SecOps.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
Nessuno.
Output dell'azione
L'azione Ping fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Ping fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully connected to the Google Chronicle backstory with the
provided connection parameters! |
L'azione è riuscita. |
Failed to connect to the Google Chronicle backstory. Error is
ERROR_REASON
|
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella descrive i valori per l'output del risultato dello script quando utilizzi l'azione Ping:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Rimuovere righe dalla tabella di dati
Utilizza l'azione Rimuovi righe dalla tabella di dati per rimuovere le righe da una tabella di dati in Google SecOps.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Rimuovi righe dalla tabella di dati richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Data Table Name |
Obbligatorio. Il nome visualizzato della tabella di dati da aggiornare. |
Rows |
Obbligatorio. Un elenco di oggetti JSON utilizzati per cercare ed eliminare righe. Devono essere incluse solo le colonne valide. Il valore predefinito è: |
Output dell'azione
L'azione Rimuovi righe dalla tabella di dati fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Rimuovi righe dalla tabella di dati:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
Messaggi di output
L'azione Rimuovi righe dalla tabella di dati fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully removed rows from the data table
DATA_TABLE_NAME in
Google SecOps.
|
L'azione è riuscita. |
Error executing action "Remove Rows From Data Table". Reason:
ERROR_REASON
|
L'azione non è riuscita.
Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori per l'output del risultato dello script quando utilizzi l'azione Rimuovi righe dalla tabella di dati:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Rimuovere i valori dall'elenco di riferimento
Utilizza l'azione Rimuovi valori dall'elenco di riferimento per rimuovere i valori da un elenco di riferimento in Google SecOps.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Rimuovi valori dall'elenco di riferimento richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Reference List Name |
Obbligatorio. Il nome dell'elenco di riferimento da aggiornare. |
Values |
Obbligatorio. Un elenco di valori separati da virgole da rimuovere dall'elenco di riferimento. |
Output dell'azione
L'azione Rimuovi valori dall'elenco di riferimento fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Remove Values From Reference List con l'API Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
Il seguente esempio descrive l'output del risultato JSON ricevuto quando si utilizza l'azione Rimuovi valori dall'elenco di riferimento con l'API Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/<var class="readonly">REFERENCE_LIST_NAME</var>' }}",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Messaggi di output
L'azione Rimuovi valori dall'elenco di riferimento fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Successfully removed values from the reference list.
|
L'azione è riuscita. |
Error executing action "Remove Values From Reference List". Reason:
ERROR_REASON
|
L'azione non è riuscita.
Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori per l'output del risultato dello script quando utilizzi l'azione Rimuovi valori dall'elenco di riferimento:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Connettori
Per maggiori dettagli su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).
Google Chronicle - Chronicle Alerts Connector
Utilizza il connettore Google Chronicle - Chronicle Alerts per estrarre informazioni sugli avvisi basati su regole da Google SecOps SIEM.
Questo connettore può essere filtrato utilizzando un elenco dinamico.
Panoramica
Google Chronicle - Chronicle Alerts Connector acquisisce più tipi di avvisi da Google SecOps SIEM.
Le funzionalità principali e i dettagli operativi includono:
Esegue query sui dati in un periodo di una settimana.
Per evitare avvisi mancati a causa di ritardi di indicizzazione, è possibile configurare un periodo di padding e un timeout del connettore maggiore, anche se un padding significativo può influire negativamente sulle prestazioni.
Il connettore utilizza elenchi dinamici per una configurazione flessibile.
Fornisce un
Fallback Severityper gli avvisi che non hanno un valore di gravità.Per importare gli indicatori di compromissione, è necessario creare una regola di rilevamento corrispondente in Google SecOps SIEM che generi avvisi in base agli indicatori di compromissione.
Filtro elenco dinamico
L'elenco dinamico viene utilizzato per filtrare gli avvisi direttamente dalla pagina di configurazione del connettore.
Logica dell'operatore
L'elenco dinamico utilizza una combinazione di logica AND e OR per elaborare le regole di filtro:
Logica OR: i valori sulla stessa riga, separati da una virgola, vengono trattati con la logica OR (ad esempio,
Rule.severity = low,mediumsignifica gravitàlowORmedium).Logica AND: ogni riga separata nell'elenco dinamico viene trattata con la logica AND (ad esempio, una riga per
Rule.severitye una riga perRule.ruleNamesignificaseverityANDruleName).Gli operatori supportati (
=,!=,>,<,>=,<=) variano a seconda della chiave di filtro.
Di seguito sono riportati alcuni esempi di utilizzo delle regole degli operatori:
- Rule.severity = medium: il connettore acquisisce solo gli avvisi delle regole con gravità media.
- Rule.severity = low,medium: il connettore acquisisce solo gli avvisi delle regole con gravità media o bassa.
- Rule.ruleName = default_rule: il connettore inserisce solo gli avvisi delle regole
con il nome
default_rule.
Filtri supportati
Il connettore Chronicle Alerts supporta il filtro per le seguenti chiavi:
| Tasto di filtro | Chiave di risposta | Operatori | Valori possibili |
|---|---|---|---|
Rule.severity |
detection, ruleLabels o severity |
=, !=, >, <,
>=, <= |
I valori non fanno distinzione tra maiuscole e minuscole. |
Rule.ruleName |
detection o ruleName |
=, != |
Definito dall'utente. |
Rule.ruleID |
detection o ruleId |
=, != |
Definito dall'utente. |
Rule.ruleLabels.{key} |
detection o ruleLabels |
=, != |
Definito dall'utente. |
Gestione ruleLabels
Per filtrare in base a un'etichetta specifica all'interno di una regola, utilizza il formato Rule.ruleLabels.{key}.
Ad esempio, per filtrare in base a un'etichetta con la chiave type e il valore
suspicious_behaviour, l'input dell'elenco dinamico deve essere:
Rule.ruleLabels.type=suspicious_behaviour
Input del connettore
Il connettore per gli avvisi di Chronicle richiede i seguenti parametri:
Il valore predefinito è Medium.
| Parametro | Descrizione |
|---|---|
Product Field Name |
Obbligatorio. Il nome del campo in cui è memorizzato il nome del prodotto. Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare la procedura di mappatura per il connettore, il valore predefinito viene risolto in un valore di riserva a cui viene fatto riferimento dal codice. Qualsiasi input non valido per questo parametro viene risolto in un valore di riserva per impostazione predefinita. Il valore predefinito è |
Event Field Name |
Obbligatorio. Il nome del campo che determina il nome (sottotipo) dell'evento. |
Environment Field Name |
Facoltativo. Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non è presente, il connettore utilizza il valore predefinito. Il valore predefinito è |
Environment Regex Pattern |
Facoltativo. Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito. |
Script Timeout (Seconds) |
Obbligatorio. Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente. Il valore predefinito è |
API Root |
Obbligatorio. La radice dell'API dell'istanza SIEM di Google SecOps. Google SecOps fornisce endpoint regionali per ogni API, ad esempio Contatta l'assistenza clienti Google Cloud per scoprire quale endpoint utilizzare. Il valore predefinito è |
User's Service Account |
Obbligatorio. Il contenuto JSON completo del account di servizio utilizzato per l'autenticazione. |
Fallback Severity |
Obbligatorio. La gravità predefinita da utilizzare se l'avviso di Google SecOps SIEM non include un valore di gravità. I valori possibili sono i seguenti:
|
Max Hours Backwards |
Facoltativo. Il numero di ore prima della prima esecuzione del connettore per recuperare gli incidenti. Questo parametro viene applicato una sola volta. Il valore massimo è Il valore predefinito è |
Max Alerts To Fetch |
Facoltativo. Il numero di avvisi da elaborare in ogni iterazione del connettore. Il valore predefinito è |
Disable Event Splitting |
Facoltativo. Se selezionato, il connettore non suddivide gli eventi originali in più parti, garantendo che il conteggio degli eventi corrisponda tra l'origine e Google SecOps SOAR. Non è abilitata per impostazione predefinita. |
Verify SSL |
Obbligatorio. Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server Google SecOps SIEM. Abilitato per impostazione predefinita. |
Proxy Server Address |
Facoltativo. L'indirizzo del server proxy da utilizzare. |
Proxy Username |
Facoltativo. Il nome utente del proxy con cui eseguire l'autenticazione. |
Proxy Password |
Facoltativo. La password del proxy per l'autenticazione. |
Disable Overflow |
Facoltativo. Se selezionato, il connettore ignora il meccanismo di overflow di Google SecOps. Non è abilitata per impostazione predefinita. |
Regole del connettore
Il connettore Google Chronicle - Chronicle Alerts supporta i proxy.
Eventi del connettore
Google Chronicle - Chronicle Alerts Connector elabora tre tipi di eventi da Google SecOps SIEM.
Avvisi basati su regole
Questo tipo di evento viene generato da una regola di rilevamento in Google SecOps SIEM.
{
"alert_type": "RULE",
"event_type": "NETWORK_DHCP",
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "d3_test",
"urlBackToProduct": "https://INSTANCE/ruleDetections?ruleId=ru_74dd17e2-5aad-4053-acd7-958bead014f2&selectedList=RuleDetectionsViewTimeline&selectedParentDetectionId=de_b5dadaf4-b398-325f-9f09-833b71b3ffbb&selectedTimestamp=2022-02-08T05:02:36Z&versionTimestamp=2020-11-19T18:19:11.951951Z",
"ruleId": "ru_74dd17e2-5aad-4053-acd7-958bead014f2",
"ruleVersion": "ru_74dd17e2-5aad-4053-acd7-958bead014f2@v_1605809951_951951000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT",
"ruleLabels": [
{
"key": "author",
"value": "analyst123"
},
{
"key": "description",
"value": "8:00 AM local time"
},
{
"key": "severity",
"value": "Medium"
}
]
}
],
"createdTime": "2022-02-08T06:07:33.944951Z",
"id": "de_b5dadaf4-b398-325f-9f09-833b71b3ffbb",
"timeWindow": {
"startTime": "2022-02-08T05:02:36Z",
"endTime": "2022-02-08T05:02:36Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2022-02-08T05:02:36Z",
"eventType": "NETWORK_DHCP",
"productName": "Infoblox DHCP",
"ingestedTimestamp": "2022-02-08T05:03:03.892234Z"
},
"principal": {
"ip": [
"198.51.100.255",
"198.51.100.1"
],
"mac": [
"01:23:45:ab:cd:ef"
],
"email_address": [
"example@example.com"
]
},
"target": {
"hostname": "dhcp_server",
"ip": [
"198.51.100.0",
"198.51.100.1"
]
},
"network": {
"applicationProtocol": "DHCP",
"dhcp": {
"opcode": "BOOTREQUEST",
"ciaddr": "198.51.100.255",
"giaddr": "198.51.100.0",
"chaddr": "01:23:45:ab:cd:ef",
"type": "REQUEST",
"clientHostname": "example-user-pc",
"clientIdentifier": "AFm/LDfjAw=="
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2022-02-08T05:02:36Z"
}
Avvisi esterni
Questo tipo di evento si basa su un avviso esterno inserito in Google SecOps SIEM.
{
"alert_type": "External",
"event_type": "GENERIC_EVENT",
"name": "Authentication failure [32038]",
"sourceProduct": "Internal Alert",
"severity": "Medium",
"timestamp": "2020-09-30T18:03:34.898194Z",
"rawLog": "U2VwIDMwIDE4OjAzOjM0Ljg5ODE5NCAxMC4wLjI5LjEwOSBBdXRoZW50aWNhdGlvbiBmYWlsdXJlIFszMjAzOF0=",
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=198.51.100.109&namespace=[untagged]&referenceTime=2020-09-30T18%3A03%3A34.898194Z&selectedList=AssetViewTimeline&startTime=2020-09-30T17%3A58%3A34.898194Z&endTime=2020-09-30T18%3A08%3A34.898194Z&selectedAlert=-610875602&selectedEventTimestamp=2020-09-30T18%3A03%3A34.898194Z"
],
"event": {
"metadata": {
"eventTimestamp": "2020-09-30T18:03:34.898194Z",
"eventType": "GENERIC_EVENT",
"productName": "Chronicle Internal",
"ingestedTimestamp": "2020-09-30T18:03:34.991592Z"
},
"target": [
{
"ip": [
"198.51.100.255",
"198.51.100.1"
]
}
],
"securityResult": [
{
"summary": "Authentication failure [32038]",
"severityDetails": "Medium"
}
]
}
}
Avvisi IoC
Questo tipo di evento corrisponde a un elenco predefinito di indicatori di compromissione.
{
"alert_type": "IOC",
"event_type": "IOC Alert",
"artifact": {
"domainName": "example.com"
},
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2020-09-07T11:00:00Z",
"firstSeenTime": "2018-10-03T00:01:59Z",
"lastSeenTime": "2022-02-04T20:02:29.191Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-08T15%3A08%3A52.434022777Z"
]
}
Struttura dell'avviso
La tabella seguente descrive in che modo Google Chronicle - Chronicle Alerts Connector compila gli attributi di un avviso in Google SecOps. Per chiarezza, gli attributi degli avvisi sono raggruppati in base all'origine e al tipo di avviso.
Attributi generati internamente
Questi attributi vengono generati dal framework e sono coerenti in tutti i tipi di avviso.
| Nome attributo avviso | Origine |
|---|---|
SourceSystemName |
Generato internamente dal framework. |
TicketId |
Il valore viene estratto dal file ids.json. |
DisplayId |
Generato automaticamente. |
Attributi per tutti i tipi di avvisi
Questi attributi derivano dall'avviso di origine, ma la chiave di origine varia in base al tipo di avviso.
| Nome attributo avviso | Origine |
|---|---|
Priority |
Estratto dalla risposta API o dal parametro Fallback Severity. |
DeviceVendor |
Il valore hardcoded è Google Chronicle. |
DeviceProduct |
Un valore hardcoded che dipende dal tipo di avviso: RULE per gli avvisi di rilevamento delle regole, IOC per le corrispondenze IOC o EXTERNAL per gli avvisi esterni. |
Description |
Per gli avvisi basati su regole, questo valore proviene da
detection/ruleLabels/description (se esiste). Non disponibile per
altri tipi di avviso. |
Reason |
Non disponibile. |
SourceGroupingIdentifier |
Non disponibile. |
Chronicle Alert - Attachments |
Non disponibile. |
Tipi di avvisi specifici
Questi attributi sono specifici dell'origine dell'avviso, il che rende più facile capire come vengono compilati.
| Nome attributo avviso | Avvisi basati su regole | Avvisi basati su indicatori di compromissione | Avvisi esterni |
|---|---|---|---|
Name |
detection/ruleName |
IOC Alert (hardcoded) |
alertInfos/name |
RuleGenerator |
detection/ruleName |
IOC Alert (hardcoded) |
alertInfos/name |
StartTime e EndTime |
timeWindow o startTime |
lastSeenTime |
timestamp |
Chronicle Alert - Extensions |
rule_id (ruleId), product_name (CSV
di un evento o metadati o un valore productName) |
Non applicabile | alert_name (name), product_name (CSV
di un evento o metadati UDM o di un valore productName) |
Deprecato: Google Chronicle - Alerts Connector
Questo connettore estrae gli avvisi sugli asset da Google SecOps SIEM e li converte in avvisi di Google SecOps SIEM.
Puoi autenticarti utilizzando la
libreria Google con
google.oauth2.service_account e AuthorizedSession.
Questo connettore richiede l'API SIEM Search di Google SecOps.
Input del connettore
Il
| Parametro | Descrizione |
|---|---|
Product Field Name |
Obbligatorio.
Il nome del campo in cui è memorizzato il nome del prodotto. Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare la procedura di mappatura per il connettore, il valore predefinito viene risolto in un valore di riserva a cui viene fatto riferimento dal codice. Qualsiasi input non valido per questo parametro viene risolto in un valore di riserva per impostazione predefinita. Il valore predefinito è |
Environment Field Name |
Facoltativo. Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non è presente, il connettore utilizza il valore predefinito. Il valore predefinito è |
Environment Regex Pattern |
Facoltativo. Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito. |
Script Timeout (Seconds) |
Obbligatorio. Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente. Il valore predefinito è |
Service Account Credentials |
Obbligatorio. Il contenuto del file JSON dell'account di servizio. |
Fetch Max Hours Backwards |
Facoltativo. Il numero di ore prima dell'esecuzione iniziale del connettore da cui recuperare gli incidenti. Questo parametro viene applicato una sola volta. Il valore massimo è Il valore predefinito è |
Ritirato: Google Chronicle - IoCs Connector
Utilizza invece il connettore di Chronicle Alerts.
Questo connettore estrae le corrispondenze dei domini IOC da Google SecOps SIEM e le converte in avvisi di Google SecOps SIEM.
Puoi autenticarti utilizzando la
libreria Google con
google.oauth2.service_account e AuthorizedSession.
Questo connettore utilizza l'API Google SecOps SIEM Search.
Input del connettore
Il connettore Google Chronicle - IoCs richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Product Field Name |
Obbligatorio.
Il nome del campo in cui è memorizzato il nome del prodotto. Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare la procedura di mappatura per il connettore, il valore predefinito viene risolto in un valore di riserva a cui viene fatto riferimento dal codice. Qualsiasi input non valido per questo parametro viene risolto in un valore di riserva per impostazione predefinita. Il valore predefinito è |
Environment Field Name |
Facoltativo. Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non è presente, il connettore utilizza il valore predefinito. Il valore predefinito è |
Environment Regex Pattern |
Facoltativo. Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, l'ambiente finale è quello predefinito. |
Script Timeout (Seconds) |
Obbligatorio. Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente. Il valore predefinito è |
Service Account Credentials |
Obbligatorio. Il contenuto del file JSON dell'account di servizio. |
Fetch Max Hours Backwards |
Facoltativo. Il numero di ore prima dell'esecuzione iniziale del connettore da cui recuperare gli avvisi. Questo parametro viene applicato una sola volta. Il valore massimo è Il valore predefinito è |
Max Alerts To Fetch |
Facoltativo. Il numero massimo di avvisi da elaborare in ogni iterazione del connettore. Il valore predefinito è |
| Campo monitorato | Campo sincronizzato |
|---|---|
Priority |
Priority |
Status |
Status |
Title |
Title |
| Non applicabile | Stage |
| Non applicabile | Google SecOps Case ID |
| Non applicabile | Google SecOps Case ID |
L'ID caso Google SecOps è un identificatore univoco del caso in Google SecOps SOAR e Google SecOps SIEM.
Il job Google Chronicle Sync Data monitora e sincronizza i seguenti campi per gli avvisi:
| Campo monitorato | Campo sincronizzato |
|---|---|
Priority |
Priority |
Status |
Status |
Case ID |
Non applicabile |
| Non applicabile | Google SecOps Alert ID |
| Non applicabile | Google SecOps Case ID |
| Non applicabile | Verdict |
| Non applicabile | Closure Comment |
| Non applicabile | Closure Reason |
| Non applicabile | Closure Root Cause |
| Non applicabile | Usefulness |
L'ID avviso Google SecOps è un identificatore univoco dell'avviso in Google SecOps SOAR.
In un'iterazione, il job sincronizza fino a 1000 casi e 1000 avvisi. La sincronizzazione avviene nell'ambiente SOAR di Google SecOps specificato nella configurazione del job. Il meccanismo di sincronizzazione garantisce che una richiesta dell'ambiente specificato non possa essere sincronizzata con un altro ambiente.
Configurare il job di sincronizzazione dei dati di Google Chronicle
Questo job sincronizza solo i casi di Google SecOps SOAR inseriti da Google SecOps SIEM.
Assicurati di aver completato i passaggi preliminari prima di configurare il job.
Per configurare il job Google Chronicle Sync Data:
Nella sezione Parametri, configura i seguenti parametri:
Parametro Descrizione EnvironmentObbligatorio.
Il nome dell'ambiente creato in Google SecOps SOAR in cui vuoi sincronizzare richieste e avvisi.
API RootObbligatorio.
La radice API dell'istanza Google SecOps SIEM.
Google SecOps fornisce endpoint regionali per ogni API.
Ad esempio,
https://europe-backstory.googleapis.comohttps://asia-southeast1-backstory.googleapis.com.Se non sai quale endpoint utilizzare, [contatta l'assistenza clienti Google Cloudd](/chronicle/docs/getting-support).
Il valore predefinito è
https://backstory.googleapis.com.User's Service AccountObbligatorio.
Il contenuto del file JSON dell'account di servizio della tua istanza di Google SecOps SIEM.
Max Hours BackwardsFacoltativo.
Il numero di ore da cui recuperare gli avvisi. Utilizza solo numeri positivi. Se inserisci 0 o un numero negativo, viene segnalato un errore. Se questo parametro è vuoto, il job utilizza il valore predefinito.
Il valore predefinito è
24.Verify SSLObbligatorio.
Se selezionata, Google SecOps verifica che il certificato SSL per la connessione al server SIEM di Google SecOps sia valido. Ti consigliamo di selezionare questa opzione.
Questa opzione è selezionata per impostazione predefinita.
Il job Google Chronicle Sync Data è abilitato per impostazione predefinita. Quando salvi il job configurato correttamente, inizia immediatamente a sincronizzare i dati con Google SecOps SIEM. Per disattivare il job, sposta il pulsante accanto al nome del job.
Per completare la configurazione, fai clic su Salva.
Se il pulsante Salva è inattivo, assicurati di aver impostato tutti i parametri obbligatori.
(Facoltativo) Per eseguire il job immediatamente dopo il salvataggio, fai clic su Esegui ora.
L'opzione Esegui ora ti consente di attivare una singola esecuzione del job che sincronizza i dati correnti di avvisi e casi di Google SecOps SOAR con Google SecOps SIEM.
Messaggi di log
La tabella seguente elenca i possibili messaggi di log per il job Google Chronicle Data Sync:
| Voce di log | Tipo | Descrizione |
|---|---|---|
Unable to parse credentials as JSON. Please validate creds.
|
Errore | Il account di servizio fornito nel parametro User's Service Account
è danneggiato. |
"Max Hours Backwards" parameter must be a positive number. |
Errore | Il parametro Max Hours backwards è impostato su 0 o su un numero
negativo. |
Current platform version does not support SDK methods designed for
Google SecOps. Please use version 6.1.33 or higher. |
Errore | La versione attuale dell'istanza della piattaforma Google SecOps non supporta l'esecuzione dello script del job di sincronizzazione dei dati di Chronicle. Ciò significa che la versione della build dell'istanza è precedente alla 6.1.33. |
Unable to connect to Google SecOps, please validate
your credentials: CREDENTIALS |
Errore | Non è stato possibile convalidare i valori radice dell'API o del account di servizio rispetto all'istanza Google SecOps SIEM. Questo errore viene segnalato se il test di connettività non va a buon fine. |
--- Start Processing Updated Cases --- |
Informazioni | È iniziato il ciclo di elaborazione della richiesta. |
Last success time. Date time:DATE_AND_TIME.
Unix:UNIX_EPOCH_TIME
|
Informazioni | Il timestamp dell'ultima esecuzione riuscita dello script per casi o avvisi:
|
Key: "DATABASE_KEY" does not exist in the
database. Returning default
value instead: DEFAULT_VALUE |
Informazioni | La chiave del database di casi o avvisi in attesa non esiste nel database. Questa voce di log viene sempre visualizzata nella prima esecuzione dello script. |
Failed to parse data as JSON. Returning default value instead:
"DEFAULT_VALUE. ERROR:
ERROR |
Errore | Il valore recuperato dal database non è in un formato JSON valido. |
Exception was raised from the database. ERROR:
ERROR. |
Errore | Si è verificato un problema di connessione con il database. |
|
Informazioni | Gli ID delle richieste o degli avvisi in attesa sono stati recuperati correttamente dal backlog. CASE_IDS è il numero di ID richiesta portati. |
|
Errore | Il numero di ID avvisi o casi in attesa recuperati dal database è superiore al limite (1000). Gli ID che superano il limite vengono ignorati. Questo errore può indicare un possibile danneggiamento del database. |
|
Informazioni | Gli ID di casi o avvisi appena aggiornati sono stati recuperati correttamente dalla piattaforma. |
|
Informazioni | È iniziato l'aggiornamento di casi e avvisi nell'istanza Google SecOps SIEM. |
|
Errore | La richiesta o l'avviso specificato non può essere sincronizzato con Google SecOps SIEM. |
|
Informazioni | Il caso o l'avviso in attesa specificato ha raggiunto il limite di tentativi di sincronizzazione (5) e non viene reinserito nel backlog. |
|
Informazioni | L'elenco degli ID caso o avviso che non possono essere sincronizzati con Google SecOps SIEM. |
Updated External Case IDs for the following cases:
CASE_IDS |
Informazioni | L'elenco dei casi per i quali il job ha aggiornato l'case ID esterno SIEM di Google SecOps corrispondente nella piattaforma SOAR di Google SecOps. |
Failed to update external ids. |
Errore | La voce di log che indica che si è verificato un problema con il metodo o la connessione dell'SDK che ha impedito l'aggiornamento degli ID richiesta esterni nella piattaforma. |
|
Errore | La voce di log che indica che si è verificato un determinato errore di terminazione che ha impedito il completamento naturale del ciclo di elaborazione della richiesta o degli avvisi. La stacktrace viene stampata dopo questo log con l'errore specifico. |
|
Informazioni | Il ciclo di elaborazione di casi e avvisi è terminato, in modo naturale o con un errore. |
|
Errore | L'elenco degli ID di casi o avvisi non riusciti con un numero di tentativi inferiore o uguale a 5 da riscrivere nel backlog. |
|
Informazioni | La fase di elaborazione della richiesta e dell'avviso è terminata. |
Saving timestamps. |
Informazioni | Salvataggio dei timestamp dell'ultimo aggiornamento riuscito di casi e avvisi nel database. |
Saving pending ids. |
Informazioni | Salvataggio degli ID di casi e avvisi in attesa nel database. |
Got exception on main handler. Error:
ERROR_REASON |
Errore | Si è verificato un errore di chiusura generale. La stacktrace viene stampata dopo questo log con l'errore specifico. |
Google Chronicle Alerts Creator job
Il job Google Chronicle Alerts Creator richiede la piattaforma Google SecOps versione 6.2.30 o successive.
Questo job crea tutti gli avvisi da Google SecOps SOAR a Google SecOps SIEM, inclusi gli avvisi di overflow. Il job Google Chronicle Alerts Creator non replica gli avvisi provenienti da Google SecOps.
Il job Google Chronicle Alerts Creator esegue query sulla piattaforma SOAR utilizzando l'SDK Python per gli avvisi non sincronizzati. Il job invia avvisi non sincronizzati a SIEM singolarmente. SIEM aggiorna e restituisce gli identificatori dei corrispondenti avvisi SIEM e SOAR salva gli identificatori utilizzando l'API della piattaforma SOAR tramite l'SDK Python.
Relazione tra i job di Google Chronicle
Un sistema Google SecOps completo esegue contemporaneamente i seguenti tre componenti:
- Connettore Chronicle Alerts
- Job Google Chronicle Sync Data
- Google Chronicle Alerts Creator
Il job Google Chronicle Sync Data crea e sincronizza le richieste. Sincronizza anche le modifiche a richieste e avvisi, ad esempio le modifiche alla priorità.
Il job Google Chronicle Alerts Creator genera tutti gli avvisi, ad eccezione di quelli SIEM. Il job Google Chronicle Sync Data invia aggiornamenti sugli avvisi non sincronizzati dopo che il job Google Chronicle Alerts Creator crea gli avvisi.
Sincronizzazione dei dati di richieste e avvisi
I casi vengono sincronizzati nello stesso modo del job di dati di Google Chronicle Sync.
In Google SecOps SIEM, ogni avviso viene identificato con un identificatore di avviso SIEM. Gli avvisi SOAR possono adottare un identificatore SIEM in due scenari:
L'avviso viene generato in SIEM.
Questo avviso esiste già in Google SecOps SIEM e non è necessario duplicarlo. Il connettore compila il campo
siem_alert_id.L'avviso viene generato nei connettori di terze parti.
Questo avviso non esiste in Google SecOps SIEM e richiede l'esecuzione di un'operazione di sincronizzazione esplicita di cui è responsabile il job Google Chronicle Alerts Creator. Al termine dell'operazione di sincronizzazione, l'avviso acquisisce un nuovo identificatore SIEM.
Configurare il job Google Chronicle Alerts Creator
Assicurati di aver completato i passaggi preliminari prima di configurare il job.
Per configurare il job Google Chronicle Alerts Creator:
Configura i parametri del job dalla seguente tabella:
Parametro Descrizione EnvironmentObbligatorio.
Il nome dell'ambiente creato in Google SecOps SOAR in cui vuoi sincronizzare richieste e avvisi.
API RootObbligatorio.
La radice API dell'istanza Google SecOps SIEM.
Google SecOps fornisce endpoint regionali per ogni API.
Ad esempio,
https://europe-backstory.googleapis.comohttps://asia-southeast1-backstory.googleapis.com.Se non sai quale endpoint utilizzare, [contatta l'assistenza clienti Google Cloudd](/chronicle/docs/getting-support).
Il valore predefinito è
https://backstory.googleapis.com.User's Service AccountObbligatorio.
Il contenuto del file JSON dell'account di servizio della tua istanza di Google SecOps SIEM.
Verify SSLObbligatorio.
Se selezionata, Google SecOps verifica che il certificato SSL per la connessione al server SIEM di Google SecOps sia valido. Ti consigliamo di selezionare questa opzione.
Questa opzione è selezionata per impostazione predefinita.
Per completare la configurazione, fai clic su Salva.
Se il pulsante Salva è inattivo, assicurati di aver impostato tutti i parametri obbligatori.
(Facoltativo) Per eseguire il job immediatamente dopo il salvataggio, fai clic su Esegui ora.
L'opzione Esegui ora ti consente di attivare una singola esecuzione del job che sincronizza i dati correnti di avvisi e casi di Google SecOps SOAR con Google SecOps SIEM.
Messaggi di log e gestione degli errori
| Log | Livello | Descrizione |
|---|---|---|
|
ERRORE | Il account di servizio fornito nel parametro Service Account dell'utente è corrotto. |
|
ERRORE | La versione attuale dell'istanza della piattaforma Google SecOps non supporta l'esecuzione dello script del job di creazione degli avvisi di Google Chronicle. Questo errore indica che la versione della build dell'istanza è precedente alla 6.2.30. |
|
ERRORE | I valori radice dell'account di servizio o dell'API non possono essere convalidati rispetto all'istanza Google SecOps SIEM. Questo errore viene segnalato se il test di connettività non va a buon fine. |
|
INFO | Messaggio di log che indica che il job è stato avviato. |
|
INFO | Messaggio di log che indica che la funzione principale è stata avviata. |
|
INFO | Messaggio di log che indica il numero di iterazione per il tentativo consecutivo corrente. |
|
INFO | Messaggio di log che indica che il codice non recupera più di BATCH_SIZE nuovi avvisi da SOAR. |
|
INFO | Messaggio di log che indica che sono stati recuperati gli avvisi SOAR NUMBER_OF_NEW_ALERTS. |
|
INFO | Messaggio di log che indica che non sono stati trovati nuovi avvisi SOAR e che il job si sta interrompendo. |
|
INFO | Messaggio di log che indica che il job ha recuperato gli avvisi SOAR con i seguenti identificatori nell'elenco ID. Puoi utilizzare queste informazioni per monitorare l'avanzamento del job e risolvere i problemi relativi al codice. |
|
INFO | Messaggio di log che indica che il job sta inviando avvisi SOAR a SIEM. |
|
ERRORE | Messaggio di log che indica che l'avviso non è stato creato correttamente in SIEM a causa di un errore. |
|
INFO | Messaggio di log che indica che il job sta aggiornando SOAR con la risposta SIEM. |
|
AVVISO | Indica che SOAR non è riuscito ad aggiornare lo stato della sincronizzazione degli avvisi. |
|
INFO | Messaggio di log che indica che sono stati sincronizzati un totale di total_synced avvisi
nell'esecuzione corrente. |
|
INFO | Messaggio di log che indica che il job è terminato. |
|
ERRORE | Messaggio di log che indica che si è verificata un'eccezione nella funzione principale. Il messaggio di eccezione è incluso nel messaggio di log. |
Casi d'uso
L'integrazione di Google Chronicle ti consente di eseguire i seguenti casi d'uso:
- Chronicle Windows Threats Investigation and Response
- Security Command Center e Chronicle Cloud DIR
Installare il caso d'uso
In Google SecOps Marketplace, vai alla scheda Casi d'uso.
In un campo di ricerca, inserisci il nome del caso d'uso.
Fai clic sul caso d'uso.
Segui i passaggi e le istruzioni di configurazione nella procedura guidata di installazione.
Al termine, tutti i componenti richiesti vengono installati sulla macchina Google SecOps. Per finalizzare l'installazione, configura il blocco Inizializzazione nel playbook corrispondente al tuo caso d'uso.
Indagine e risposta alle minacce di Windows con Chronicle
Sfrutta la potenza di Google SecOps per rispondere in tempo reale alle minacce Windows nel tuo ambiente. Utilizzando Threat Intelligence per Google SecOps, i team di sicurezza possono usufruire di un servizio di threat intelligence ad alta fedeltà insieme a Google SecOps. Le minacce reali nel tuo ambiente ora possono essere classificate e risolte automaticamente in un periodo di tempo breve ed efficace.
In Google SecOps, vai a Risposta > Playbook.
Seleziona il playbook Google Chronicle - Windows Threats Investigation & Response. Il playbook si apre nella visualizzazione del designer di playbook.
Fai doppio clic su Set Initialization Block_1. Si apre la finestra di dialogo di configurazione del blocco.
Per configurare il playbook, utilizza i seguenti parametri:
Parametro di input Valori possibili Descrizione edr_product- CrowdStrike
- Carbon Black
- Nessuno
Il prodotto EDR da utilizzare nel playbook. itsm_product- Service Now
- Jira
- ZenDesk
- Nessuno
Il prodotto ITSM da utilizzare nel playbook. Jira richiede una configurazione aggiuntiva nel blocco Apri ticket. crowdstrike_use_spotlightTrueoFalseSe True, il playbook esegue azioni Crowdstrike che richiedono una licenza Spotlight (informazioni sulle vulnerabilità).use_mandiantTrueoFalseSe True, il playbook esegue il blocco Mandiant.slack_userNome utente o indirizzo email Il nome utente o l'indirizzo email dell'utente Slack. Se non ne viene fornito nessuno, il playbook salta i blocchi di Slack. Fai clic su Salva. La finestra di dialogo di configurazione del blocco si chiude.
Nel riquadro del playbook designer, fai clic su Salva.
Per testare il playbook nel caso d'uso, importa lo scenario di test incluso nel pacchetto. Alcune funzionalità degli scenari di test potrebbero non riuscire perché i dati utilizzati per il test non sono disponibili nel tuo ambiente.
Security Command Center e Chronicle Cloud DIR
Integra Security Command Center con Google SecOps SIEM per consentire agli analisti di esaminare gli incidenti e le minacce rilevati da Security Command Center.
Configura il caso d'uso
Il caso d'uso richiede la configurazione delle seguenti integrazioni:
- Siemplify
- Strumenti
- Mitre ATT&CK
- Google Cloud IAM
- Google Chronicle
- Funzioni
- Google Cloud Compute
- Email V2
- VirusTotal v3
Le integrazioni di Google Security Command Center e Mandiant sono facoltative.
Assicurati di aver installato lo scenario d'uso prima di configurarlo.
- In Google SecOps, vai alla scheda Playbook.
- Seleziona il playbook SCC e Chronicle Cloud DIR.
- Fai doppio clic sul blocco di inizializzazione per configurarlo.
- Configura il playbook utilizzando i seguenti parametri:
| Nome parametro | Valori possibili | Descrizione |
|---|---|---|
Mandiant_Enrichment |
True o False |
Se Per questa configurazione è necessario configurare l'integrazione di Mandiant. Puoi rimuovere l'arricchimento se raramente ricevi informazioni significative. La rimozione del blocco di arricchimento migliora la velocità di esecuzione del playbook. |
SCC_Enrichment |
True o False |
Se Per questa configurazione deve essere configurata l'integrazione di Security Command Center. Puoi rimuovere l'arricchimento se raramente ottieni informazioni significative. La rimozione del blocco di arricchimento migliora la velocità di esecuzione del playbook. |
IAM_Enrichment |
True o False |
Se True, il playbook utilizza le funzionalità IAM
per un ulteriore arricchimento. Puoi rimuovere l'arricchimento se raramente
ottieni informazioni significative. La rimozione del blocco di arricchimento migliora
la velocità di esecuzione del playbook. |
Compute_Enrichment |
True o False |
Se True, il playbook utilizza le funzionalità di Compute Engine
per un ulteriore arricchimento. Puoi rimuovere l'arricchimento se
raramente ottieni informazioni significative. La rimozione del blocco di arricchimento migliora
la velocità di esecuzione del playbook. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.