Integre o Google Chronicle com o Google SecOps
Este documento explica como integrar o Google Chronicle com o Google Security Operations (Google SecOps).
Versão da integração: 64.0
Exemplos de utilização
A integração do Google Chronicle pode resolver os seguintes exemplos de utilização:
Investigação e remediação de phishing automatizadas: use as capacidades do SOAR do Google SecOps para consultar automaticamente dados de email históricos, registos de atividades dos utilizadores e inteligência de ameaças para avaliar a legitimidade do email. A remediação automática pode ajudar na triagem e contenção, impedindo a propagação de software malicioso ou violações de dados.
Enriquecimento de alertas de segurança: use as capacidades do SOAR do Google SecOps para enriquecer um alerta gerado num SIEM com contexto histórico, como o comportamento anterior do utilizador e informações de recursos. Isto oferece aos analistas uma vista abrangente de um incidente, permitindo uma tomada de decisões mais rápida e informada.
Procura de ameaças com base nas estatísticas do Google SecOps: use as capacidades do SOAR do Google SecOps para automatizar o processo de consulta de outras ferramentas de segurança para indicadores de comprometimento (IOCs) relacionados. Isto pode ajudar a identificar proativamente potenciais violações antes de estas se agravarem.
Manuais de procedimentos de resposta a incidentes automatizados: use as capacidades do SOAR do Google SecOps para acionar manuais de procedimentos predefinidos que usam dados do Google SecOps para isolar sistemas comprometidos, bloquear endereços IP maliciosos e notificar as partes interessadas relevantes. Isto pode reduzir o tempo de resposta a incidentes e minimizar o impacto dos incidentes de segurança.
Relatórios e auditorias de conformidade: use as capacidades de SOAR do Google SecOps para automatizar a recolha de dados de segurança do Google SecOps para relatórios de conformidade, simplificando o processo de auditoria e reduzindo o esforço manual.
Antes de começar
Antes de configurar a integração do Google Chronicle no Google SecOps, certifique-se de que tem o seguinte:
Google Cloud projeto: acesso a umGoogle Cloud projeto ativo.
Autorizações: as funções de gestão de identidade e de acesso (IAM) necessárias no seu Google Cloud projeto para criar e gerir contas de serviço e políticas de IAM.
Configure a integração
Os passos de configuração dependem do tipo de implementação do Google SecOps:
Implementação unificada do SecOps: se a sua instância do Google SecOps fizer parte de uma implementação unificada do SecOps (integrada com o SIEM do Google Security Operations), a integração usa normalmente uma conta de serviço predefinida gerida pela Google. Neste caso, não precisa de carregar uma chave JSON da conta de serviço nem configurar manualmente a identidade da carga de trabalho. As autorizações necessárias são pré-configuradas ou herdadas do ambiente de anfitrião.
Implementação SOAR autónoma: se a sua instância do Google SecOps for uma implementação SOAR autónoma (não integrada com o SIEM do Google Security Operations), tem de configurar manualmente a autenticação através de um dos seguintes métodos:
Ficheiro de chave JSON da conta de serviço
Workload Identity Federation
Autenticação com uma chave JSON de conta de serviço
O processo de autenticação de uma chave JSON de conta de serviço difere entre a API Chronicle e a API Backstory.
Autenticação da API Chronicle (recomendada)
Para usar a API Chronicle, tem de criar uma conta de serviço no seuGoogle Cloud projeto.
Na Google Cloud consola, aceda a IAM e administrador > Contas de serviço.
Selecione Criar conta de serviço e siga as instruções para criar a conta de serviço necessária.
Selecione o endereço de email da nova conta de serviço e aceda a Chaves > Adicionar chave > Criar nova chave.
Selecione
JSONcomo o tipo de chave e clique em Criar. É transferido um ficheiro de chave JSON para o seu computador.Em Autorizações > Gerir acesso, atribua as funções de IAM específicas do Google SecOps necessárias à conta de serviço.
Autenticação da API Backstory
Para usar a API Backstory, é necessária uma conta de serviço. Um administrador tem de criar esta conta para si.
Contacte o apoio técnico de operações de segurança da Google e peça uma conta de serviço para a API Backstory. Faculte os detalhes necessários para a sua implementação de SOAR.
O apoio técnico do Google SecOps fornece-lhe um ficheiro de chave JSON para a conta de serviço.
Use a chave fornecida na configuração da integração.
Autenticação com o Workload Identity (recomendado)
O Workload Identity é o método de autenticação recomendado e mais seguro para implementações SOAR autónomas. Elimina a necessidade de gerir chaves de contas de serviço de longa duração, ativando credenciais federadas de curta duração.
Para configurar a autenticação com a identidade de carga de trabalho, siga estes passos:
Crie um Workload Identity Pool e um fornecedor:
Na Google Cloud consola, aceda a IAM e administração > Federação de identidades de carga de trabalho.
Siga as instruções para criar um Workload Identity Pool e, em seguida, um Workload Identity Pool Provider que confie no Google SecOps como uma identidade externa.
Pode configurar o fornecedor para confiar no Google SecOps como uma origem de identidade externa através do OpenID Connect (OIDC).
-
Na Google Cloud consola, aceda a IAM e administrador > Contas de serviço.
Crie uma conta de serviço dedicada no seu projeto Google Cloud . Esta conta vai ser representada pela carga de trabalho externa (Google SecOps).
Conceda autorizações à conta de serviço:
Atribua as funções de IAM específicas do Google SecOps necessárias (por exemplo, Visualizador do Chronicle, Editor das operações de segurança do Chronicle) à conta de serviço.
Conceda a função
Service Account Token Creatorao fornecedor do Workload Identity Pool que criou. Esta autorização permite ao fornecedor representar esta conta de serviço.
Configure a relação de confiança:
Estabeleça a relação de confiança entre o fornecedor do Workload Identity Pool e a conta de serviço. Esta ação associa a identidade externa (que representa o Google SecOps) à conta de serviço. Google Cloud
Configure o parâmetro de integração:
Na caixa de diálogo de configuração da integração, introduza o endereço de email da conta de serviço no campo Email da identidade da carga de trabalho.
Para instruções mais detalhadas sobre a configuração da federação de identidades da carga de trabalho, consulte o artigo Google Cloud Workload Identity.
Parâmetros de integração
A integração do Google Chronicle requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
UI Root |
Obrigatório. O URL de base da interface do SIEM do Google SecOps. Isto é usado para gerar automaticamente links diretos para a plataforma SIEM a partir dos registos de casos. O valor predefinido é
|
API Root |
Obrigatório. A raiz da API para a sua instância do SIEM do Google SecOps. O valor depende do seu método de autenticação:
A utilização das credenciais erradas para a raiz da API resulta numa falha de ligação. |
User's Service Account |
Opcional. O conteúdo completo do ficheiro de chave JSON da conta de serviço. Se este e os parâmetros |
Workload Identity Email |
Opcional. O endereço de email do cliente da sua Workload Identity Federation. Este parâmetro tem prioridade sobre o ficheiro de chave Para usar a Federação de identidades de cargas de trabalho, tem de conceder a função
|
Verify SSL |
Obrigatório. Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor SIEM do Google SecOps. Ativada por predefinição. |
Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Execute uma ação manual.
Adicione linhas à tabela de dados
Use a ação Adicionar linhas à tabela de dados para adicionar linhas a uma tabela de dados no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
Para configurar a ação, use os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Data Table Name |
Obrigatório. O nome a apresentar da tabela de dados a atualizar. |
Rows |
Obrigatório. Uma lista de objetos JSON com informações sobre as linhas a adicionar. Por exemplo:
{
"columnName1": "value1",
"columnName2": "value2"
}
|
Resultados da ação
A ação Adicionar linhas à tabela de dados fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Estatísticas da entidade | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra um resultado JSON de exemplo devolvido pela ação Adicionar linhas à tabela de dados:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
}
}
Mensagens de saída
A ação Adicionar linhas à tabela de dados fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully added rows to the data table
DATA_TABLE_NAME in
Google SecOps. |
A ação foi bem-sucedida. |
Error executing action "Add Rows to Data Table". Reason:
ERROR_REASON |
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Adicionar linhas à tabela de dados:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Adicione valores à lista de referência
Use a ação Adicionar valores à lista de referência para adicionar valores a uma lista de referência no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
Para configurar a ação, use os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Reference List Name |
Obrigatório. O nome da lista de referência a atualizar. |
Values |
Obrigatório. Uma lista de valores separados por vírgulas a adicionar à lista de referência. |
Resultados da ação
A ação Adicionar valor à lista de referências fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Estatísticas da entidade | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Adicionar valor à lista de referências com a API Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Adicionar valor à lista de referência com a API Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_NAME",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Mensagens de saída
A ação Adicionar valores à lista de referência fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully added values to the reference list
REFERENCE_LIST_NAME. |
A ação foi bem-sucedida. |
Error executing action "Add Values To Reference List". Reason:
ERROR_REASON |
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Adicionar valores à lista de referência:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Pedir ao Gemini
Use a ação Pedir ao Gemini para enviar um comando de texto ao Gemini no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
Para configurar a ação, use os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Automatic Opt-in |
Opcional. Se selecionada, a estratégia permite automaticamente que o utilizador participe na conversa do Gemini sem precisar de confirmação manual. Ativada por predefinição. |
Prompt |
Obrigatório. O comando de texto ou a pergunta inicial a enviar ao Gemini. |
Resultados da ação
A ação Pedir ao Gemini fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Estatísticas da entidade | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Pedir ao Gemini:
{
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/users/me/conversations/db3b0fc2-94f8-42ae-b743-c3693f593269/messages/b58e3186-e697-4400-9da8-8ef252a20bd9",
"input": {
"body": "Is IP 159.138.84.217 malicious? What can you tell me about it?"
},
"responses": [
{
"blocks": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<p>The IP address 159.138.84.217 is associated with malware and threat actors.</p>\n<ul>\n<li>It is an IPv4 indicator.</li>\n<li>It is associated with BEACON malware.</li>\n<li>It is categorized as malware-Backdoor.</li>\n<li>It has a low confidence, high severity threat rating.</li>\n<li>VirusTotal's IP Address Report indicates the network for this IP is 159.138.80.0/20, and the IP is associated with HUAWEI CLOUDS in Singapore.</li>\n<li>VirusTotal's last analysis on April 22, 2025, showed 8 malicious detections out of 94 sources.</li>\n</ul>\n<p>I might have more details for a question with more context (e.g., what is the source of the IP, what type of network traffic is associated with the IP).</p>\n"
}
}
],
"references": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<ol>\n<li><a href=\"https://advantage.mandiant.com/indicator/ipv4/159.138.84.217\" target=\"_blank\">Mandiant - indicator - 159.138.84.217</a></li>\n</ol>\n"
}
}
],
"groundings": [
"IP address 159.138.84.217 malicious cybersecurity",
"IP address 159.138.84.217 threat intelligence"
]
}
],
"createTime": "2025-05-16T11:31:36.660538Z"
}
}
Mensagens de saída
A ação Pedir ao Gemini fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully executed a prompt in Google SecOps. |
A ação foi bem-sucedida. |
Error executing action "GoogleChronicle - Ask Gemini".
Reason: ERROR_REASON |
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Pedir ao Gemini:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enriquecer domínio – Descontinuado
Use a ação Enriquecer domínio para enriquecer domínios com informações de IoCs no Google SecOps SIEM.
Esta ação é executada nas seguintes entidades do Google SecOps:
URLHostname
Dados de ações
A ação Enrich Domain requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Create Insight |
Se estiver selecionada, a ação cria uma estatística com informações sobre as entidades. Ativada por predefinição. |
Only Suspicious Insight |
Se selecionada, a ação só cria uma estatística para entidades marcadas como suspeitas. Não está ativada por predefinição. Se selecionar este parâmetro, também tem de selecionar
|
Lowest Suspicious Severity |
Obrigatório. A gravidade mais baixa associada ao domínio necessária para o sinalizar como suspeito. O valor predefinido é
|
Mark Suspicious N/A Severity |
Obrigatório. Se esta opção for selecionada e as informações sobre a gravidade estiverem indisponíveis, a ação marca a entidade como suspeita. |
Resultados da ação
A ação Enriquecer domínio fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Disponível |
| Estatísticas da entidade | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mesa de parede para caixas
A ação Enriquecer domínio fornece a seguinte tabela:
Nome: ENTITY_IDENTIFIER
Colunas:
- Fonte
- Gravidade
- Categoria
- Confiança
Enriquecimento de entidades
A ação Enriquecer domínio suporta a seguinte lógica de enriquecimento de entidades:
| Campo de enriquecimento | Lógica (quando aplicar) |
|---|---|
severity |
Quando estiver disponível em JSON |
average_confidence |
Quando estiver disponível em JSON |
related_domains |
Quando estiver disponível em JSON |
categories |
Quando estiver disponível em JSON |
sources |
Quando estiver disponível em JSON |
first_seen |
Quando estiver disponível em JSON |
last_seen |
Quando estiver disponível em JSON |
report_link |
Quando estiver disponível em JSON |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Enrich Domain com a API Backstory:
{
{
"sources": [
{
"source": "ET Intelligence Rep List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Enrich Domain com a API Chronicle:
[
{
"Entity": "example.com",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
},
{
"category": "Phishing",
"firstActiveTime": null,
"lastActiveTime": "2020-11-27T14:31:37Z",
"addresses": [
{
"domain": "example.com"
},
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "high",
"confidenceScore": {
"strRawConfidenceScore": "high"
}
},
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
},
{
"metadata": {
"title": "ESET Threat Intelligence",
"description": "ESET Threat Intelligence"
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Phishing",
"activeTimerange": {
"end": "2020-11-27T14:31:37Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "High",
"rawSeverity": "High"
}
]
},
{
"metadata": {
"title": "Mandiant Active Breach Intelligence",
"description": "Mandiant Active Breach IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
}
]
}
}
]
Mensagens de saída
A ação Enrich Domain fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully enriched the following domain in Google Chronicle:
LIST_OF_IDS |
A ação foi bem-sucedida. |
Error executing action "Enrich Domain". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Enrich Domain:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enriquecer entidades
Use a ação Enrich Entities para consultar o Google SecOps e obter contexto e atributos adicionais para tipos de entidades especificados. Esta ação melhora os dados de investigação de ameaças através da integração de informações externas.
Esta ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressURL(extrai o domínio do URL)UserEmail(entidade do utilizador com regex de email)
Dados de ações
A ação Enrich Entities requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Namespace |
Opcional. O agrupamento lógico ou o âmbito das entidades a enriquecer. Se não for selecionado, o enriquecimento aplica-se a entidades no namespace predefinido ou a todos os namespaces acessíveis. As entidades têm de pertencer a este espaço de nomes para serem processadas. |
Time Frame |
Opcional. Um período relativo (por exemplo, Este parâmetro tem precedência sobre |
Start Time |
Opcional. A hora de início do período de enriquecimento no formato ISO 8601. Use esta opção com |
End Time |
Opcional. A hora de fim absoluta do período de enriquecimento no formato ISO 8601. Usado com |
Resultados da ação
A ação Enrich Entities fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
| Campo de enriquecimento | Origem (chave JSON) | Aplicabilidade |
|---|---|---|
GoogleSecOps_related_entities |
O número de related_entities | Quando estiver disponível no resultado JSON. |
GoogleSecOps_alert_count_ruleName |
{alertCounts.count} para cada regra específica | Quando estiver disponível no resultado JSON. |
GoogleSecOps_first_seen |
metric.firstSeen |
Quando estiver disponível no resultado JSON. |
GoogleSecOps_last_seen |
metric.lastSeen |
Quando estiver disponível no resultado JSON. |
GoogleSecOps_flattened_key_under_entity |
O valor da chave, reduzido a um nível a partir da estrutura aninhada no objeto "entity". |
Quando estiver disponível no resultado JSON. |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Enrich Entities:
[
{
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"domain": {
"name": "markossolomon.com",
"firstSeenTime": "1970-01-01T00:00:00Z",
"lastSeenTime": "1970-01-01T00:00:00Z",
"registrar": "NameCheap, Inc.",
"creationTime": "2013-12-06T02:41:09Z",
"updateTime": "2019-11-06T11:48:33Z",
"expirationTime": "2020-12-06T02:41:09Z",
"registrant": {
"userDisplayName": "WhoisGuard Protected",
"emailAddresses": [
"58d09cb5035042e9920408f8bafd0869.protect@whoisguard.com"
],
"personalAddress": { "countryOrRegion": "PANAMA" },
"companyName": "WhoisGuard, Inc."
}
}
}
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "npatni-sysops",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "npatni-sysops" }
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "329" },
{ "rule": "rule_testbucket", "count": "339" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "332" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 1000 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "exlab2019-ad",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "exlab2019-ad" }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.30.202.229",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "ip": ["172.30.202.229"] }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.17.0.1",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": { "namespace": "Yuriy", "asset": { "ip": ["172.17.0.1"] } },
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
}
},
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "911d039e71583a07320b32bde22f8e22",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"file": {
"sha256": "bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527",
"md5": "911d039e71583a07320b32bde22f8e22",
"sha1": "ded8fd7f36417f66eb6ada10e0c0d7c0022986e9",
"size": "278528",
"fileType": "FILE_TYPE_PE_EXE",
"names": [
"C:\\Windows\\System32\\cmd.exe",
"cmd",
"Cmd.Exe",
"C:\\Windows\\system32\\cmd.exe",
"C:\\Windows\\SYSTEM32\\cmd.exe",
"cmd.exe",
"C:\\\\Windows\\\\System32\\\\cmd.exe",
"C:\\windows\\SYSTEM32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\wjxpour4.d0f\\cmd.exe",
"c:\\Windows\\System32\\cmd.exe",
"Utilman.exe",
"c:\\windows\\system32\\cmd.exe",
"System32/cmd.exe",
"UtilityVM/Files/Windows/System32/cmd.exe",
"KerishDoctor/Data/KerishDoctor/Restore/cmd.rst",
"cmd.exe_",
"C:\\WINDOWS\\SYSTEM32\\cmd.exe",
"Cmd.exe",
"Windows/System32/cmd.exe",
"sethc.exe",
"C:\\WINDOWS\\System32\\cmd.exe",
"esRzqurX.exe",
"rofl.png",
"F:\\Windows\\SYSTEM32\\cmd.exe",
"utilman.exe",
"C:\\Windows\\system32\\CMD.exe",
"sys32exe/cmd.exe",
"cmd.txt",
"C:\\WINDOWS\\system32\\cmd.exe",
"cmd2.exe",
"Utilman.exe.sc",
"uhrHRIv8.exe",
"C:\\windows\\system32\\cmd.exe",
"submitted_file",
"C:\\Users\\user\\AppData\\Local\\Temp\\n1qo0bq3.2tn\\KerishDoctor\\Data\\KerishDoctor\\Restore\\cmd.rst",
"J6ff7z0hLYo.exe",
"N:\\Windows\\System32\\cmd.exe",
"Q:\\Windows\\System32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\cmd.exe",
"C:\\Users\\<USER>\\AppData\\Local\\Temp\\cmd.exe",
"test.exe",
"68E2F01F8DE9EFCAE9C0DD893DF0E8C34E2B5C98A6C4073C9C9E8093743D318600.blob",
"8FCVE0Kq.exe",
"cmd (7).exe",
"cmd (8).exe",
"21455_16499564_bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527_cmd.exe",
"LinX v0.9.11 (Intel)/cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\inbvmkaa.1xd\\LinX v0.9.11 (Intel)\\cmd.exe",
"cmd_b.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\sfd5bhoe.nqi\\cmd.exe",
"cMd.exe",
"Repl_Check.bat__",
"cmd.pdf",
"cmd.EXE",
"C:\\Users\\user\\AppData\\Local\\Temp\\uszjr42t.kda\\cmd.exe",
"LFepc1St.exe",
"firefox.exe",
"3BcnNlWV.exe",
"Utilman.exebak",
"utilman1.exe",
"1.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\ispvscgp.ep2\\sys32exe\\cmd.exe",
"cmd_1771019736291028992.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\xijgwqvd.54g\\cmd.exe",
"Sethc.exe",
"\\Device\\CdRom1\\DANFE352023067616112\\DANFE352023067616112.EXE",
"DANFE352023067616112.exe",
"file.exe",
"DANFE352023067616112/DANFE352023067616112.exe",
"C:\\Windows\\SYSTEM32\\Cmd.exe",
"pippo.exe",
"C:\\Windows\\System32\\sethc.exe",
"cmd.exe-bws024-windowsfolder",
"whatever.exe",
"sethc.exe.bak",
"S71dbOR1.exe",
"F:\\windows\\SYSTEM32\\cmd.exe",
"L6puhWL7.exe",
"DANFE357986551413927.exe",
"DANFE357666506667634.exe",
"\\Device\\CdRom1\\DANFE357666506667634\\DANFE357666506667634.EXE",
"\\Device\\CdRom1\\DANFE357986551413927\\DANFE357986551413927.EXE",
"\\Device\\CdRom1\\DANFE358567378531506\\DANFE358567378531506.EXE",
"\\Device\\CdRom1\\HtmlFactura3f48daa069f0e42253194ca7b51e7481DPCYKJ4Ojk\\HTMLFACTURA3F48DAA069F0E42253194CA7B51E7481DPCYKJ4OJK.EXE",
"\\Device\\CdRom1\\DANFE357410790837014\\DANFE357410790837014.EXE",
"\\Device\\CdRom1\\DANFE357702036539112\\DANFE357702036539112.EXE",
"winlogon.exe",
"AccessibilityEscalation.A' in file 'utilman.exe'",
"qpl9AqT0.exe",
"C:\\windows\\system32\\CMD.exe",
"C:\\po8az\\2po9hmc\\4v1b5.exe",
"batya.exe",
"nqAwJaba.exe",
"\\Device\\CdRom1\\DANFE356907191810758\\DANFE356907191810758.EXE",
"/Volumes/10_11_2023/DANFE356907191810758/DANFE356907191810758.exe",
"/Volumes/09_21_2023/DANFE357986551413927/DANFE357986551413927.exe",
"\\Device\\CdRom1\\DANFE355460800350113\\DANFE355460800350113.EXE",
"/Volumes/09_19_2023/DANFE355460800350113/DANFE355460800350113.exe",
"DANFE352429512050669.exe",
"/Volumes/04_15_2023/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3.exe"
],
"firstSeenTime": "2024-12-15T09:07:02Z",
"lastSeenTime": "2025-07-18T07:43:59.045Z",
"lastAnalysisTime": "2025-07-16T10:06:40Z",
"signatureInfo": {
"sigcheck": {
"verificationMessage": "Signed",
"verified": true,
"signers": [{ "name": "Microsoft Windows" }]
}
},
"firstSubmissionTime": "2025-07-15T16:30:27Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "329" },
{ "rule": "rule_testbucket", "count": "345" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "326" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{ "alertCount": 31 },
{ "alertCount": 111 },
{ "alertCount": 109 },
{ "alertCount": 82 },
{ "alertCount": 86 },
{ "alertCount": 98 },
{ "alertCount": 86 },
{ "alertCount": 85 },
{ "alertCount": 92 },
{ "alertCount": 89 },
{ "alertCount": 90 },
{ "alertCount": 41 }
],
"bucketSize": "172800s"
},
"prevalenceResult": [
{ "prevalenceTime": "2025-01-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-16T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-17T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-18T00:00:00Z", "count": 2 }
],
"relatedEntities": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiFQoGCPbso7wGEgsIv_bnwwYQwMq6FQ",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"hostname": "exlab2019-ad",
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIVCgYI9uyjvAYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"ip": ["172.30.202.229"],
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
}
]
}
},
{
"Entity": "tencent.com",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"domain": {
"name": "tencent.com",
"firstSeenTime": "2025-01-14T14:01:00Z",
"lastSeenTime": "2025-01-14T15:02:00Z",
"registrar": "MarkMonitor Information Technology (Shanghai) Co., Ltd.",
"creationTime": "1998-09-14T04:00:00Z",
"updateTime": "2024-08-20T08:04:01Z",
"expirationTime": "2032-09-13T04:00:00Z",
"registrant": {
"emailAddresses": [""],
"personalAddress": { "countryOrRegion": "CHINA" },
"companyName": "\u6df1\u5733\u5e02\u817e\u8baf\u8ba1\u7b97\u673a\u7cfb\u7edf\u6709\u9650\u516c\u53f8"
}
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "00:50:56:b6:34:86",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "mac": ["00:50:56:b6:34:86"] }
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
}
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
}
]
Mensagens de saída
A ação Enrich Entities pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Enrich Entities:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enrich IP (descontinuado)
Use a ação Enrich IP para enriquecer entidades de IP com informações de IoCs no SIEM do Google SecOps.
Esta ação é executada na entidade `Endereço IP`.
Dados de ações
A ação Enrich IP requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Create Insight |
Opcional. Se selecionada, a ação cria uma estatística que contém informações sobre entidades.Ativada por predefinição. |
Only Suspicious Insight |
Opcional. Se selecionada, a ação cria estatísticas apenas para entidades marcadas como suspeitas.Não está ativada por predefinição. Se selecionar este parâmetro, também tem de selecionar |
Lowest Suspicious Severity |
Obrigatório. A gravidade mais baixa associada ao endereço IP para o marcar como suspeito. O valor predefinido é
|
Mark Suspicious N/A Severity |
Obrigatório. Se esta opção for selecionada e as informações sobre a gravidade estiverem indisponíveis, a ação marca a entidade como suspeita. |
Resultados da ação
A ação Enriquecer IP fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mesa de parede para caixas
Nome: ENTITY_IDENTIFIER
Colunas:
- Fonte
- Gravidade
- Categoria
- Confiança
- Domínios relacionados
Enriquecimento de entidades
A ação Enriquecer IP suporta a seguinte lógica de enriquecimento de entidades:
| Campo de enriquecimento | Lógica (quando aplicar) |
|---|---|
severity |
Quando estiver disponível em JSON |
average_confidence |
Quando estiver disponível em JSON |
related_domains |
Quando estiver disponível em JSON |
categories |
Quando estiver disponível em JSON |
sources |
Quando estiver disponível em JSON |
first_seen |
Quando estiver disponível em JSON |
last_seen |
Quando estiver disponível em JSON |
report_link |
Quando estiver disponível em JSON |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Enrich IP com a API Backstory:
{
{
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Enrich IP com a API Chronicle:
[
{
"Entity": "192.0.2.121",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "low",
"confidenceScore": {
"strRawConfidenceScore": "67"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "67",
"rawSeverity": "Low"
}
]
}
]
}
}
]
Mensagens de saída
A ação Enrich IP fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully enriched the following IPs from Google Chronicle:
LIST_OF_IPS |
A ação foi bem-sucedida. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Enrich IP:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Execute a retrocaça
Use a ação Execute Retrohunt para executar uma retrocaça de regras no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Execute Retrohunt requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Rule ID |
Obrigatório. O ID da regra para executar uma retrocaça. Use o formato |
Time Frame |
Opcional. Um período para obter os resultados. Os valores possíveis são os seguintes:
Se O valor predefinido é |
Start Time |
A hora de início dos resultados no formato ISO 8601. Este parâmetro é obrigatório se o parâmetro |
End Time |
A hora de fim dos resultados no formato ISO 8601.
Se não definir um valor e selecionar o valor |
Resultados da ação
A ação Execute Retrohunt fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Estatísticas da entidade | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Execute Retrohunt com a API Backstory:
{
"retrohuntId": "oh_d738c8ea-8fd7-4cc1-b43d-25835b8e1785",
"ruleId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497",
"versionId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497@v_1612472807_179679000",
"eventStartTime": "2021-01-14T23:00:00Z",
"eventEndTime": "2021-01-30T23:00:00Z",
"retrohuntStartTime": "2021-02-08T02:40:59.192113Z",
"state": "RUNNING"
}
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Execute Retrohunt com a API Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/RetrohuntMetadata",
"retrohunt": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID/retrohunts/RETROHUNT_ID",
"executionInterval": {
"startTime": "2025-01-22T12:16:20.963182Z",
"endTime": "2025-01-23T12:16:20.963182Z"
}
},
"retrohuntId": "RETROHUNT_ID",
"ruleId": "RULE_ID",
"versionId": "VERSION_ID",
"eventStartTime": "2025-01-22T12:16:20.963182Z",
"eventEndTime": "2025-01-23T12:16:20.963182Z"
}
Mensagens de saída
A ação Execute Retrohunt fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully executed a retrohunt for the provided rule in Google
Chronicle.
|
A ação foi bem-sucedida. |
Error executing action "Execute Retrohunt". Reason:
ERROR_REASON |
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Execute Retrohunt:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Executar consulta UDM
Use a ação Execute UDM Query para executar uma consulta UDM personalizada no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Execute UDM Query requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query String |
Obrigatório. A consulta a executar no Google SecOps. |
Time Frame |
Opcional. Um período para obter os resultados. Os valores possíveis são os seguintes:
Se O valor predefinido é |
Start Time |
Opcional. A hora de início dos resultados no formato ISO 8601 (por exemplo, Este parâmetro é obrigatório se o parâmetro O intervalo de tempo máximo é de 90 dias. |
End Time |
Opcional. A hora de fim dos resultados num formato ISO 8601 (por exemplo, Se não definir um valor e o parâmetro O intervalo de tempo máximo é de 90 dias. |
Max Results To Return |
Opcional. O número de resultados a devolver para uma única consulta. O valor máximo é O valor predefinido é |
Resultados da ação
A ação Execute UDM Query fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Execute UDM Query:
{
"events":[
"event":{
"metadata":{
"eventTimestamp":"2022-01-20T09:15:15.687Z",
"eventType":"USER_LOGIN",
"vendorName":"Example Vendor",
"productName":"Example Product",
"ingestedTimestamp":"2022-01-20T09:45:07.433587Z"
},
"principal":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.0"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
],
"location":{
"city":"San Francisco",
"state":"California",
"countryOrRegion":"US"
},
"asset":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.1",
"203.0.113.1",
"203.0.113.1"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
]
}
},
"target":{
"user":{
"userid":"Example",
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-4712406912-7108061610-2717800068-993683",
"emailAddresses":[
"example@example.com",
"admin.example@example.com"
],
"employeeId":"2406187",
"productObjectId":"f93f1540-4935-4266-aa8e-a750a319aa1c",
"firstName":"Example",
"lastName":"User",
"phoneNumbers":[
"555-01-75"
],
"title":"Executive Assistant",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
],
"managers":[
{
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-6051382818-4135626959-8120238335-834071",
"emailAddresses":[
"user@example.com"
],
"employeeId":"5478500",
"productObjectId":"8b3924d5-6157-43b3-857b-78aa6bd94705",
"firstName":"User",
"lastName":"Example",
"phoneNumbers":[
"555-01-75"
],
"title":"Chief Technology Officer",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
]
}
]
},
"ip":[
"198.51.100.1"
],
"email":"email@example.com",
"application":"Example Sign In"
},
"securityResult":[
{
"summary":"Successful Login",
"action":[
"ALLOW"
]
}
],
"extensions":{
"auth":{
"type":"SSO"
}
}
},
"eventLogToken":"96f23eb9ffaa9f7e7b0e2ff5a0d2e34c,1,1642670115687000,USER,|USER_LOGIN"
]
}
Mensagens de saída
A ação Execute UDM Query fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Execute UDM Query". Reason:
ERROR_REASON
|
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Execute UDM Query". Reason: you've reached a
rate limit. Please wait for several minutes and try again. |
A ação falhou. Aguarde vários minutos antes de executar novamente a ação. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Execute UDM Query:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obter tabelas de dados
Use a ação Get Data Tables para obter tabelas de dados disponíveis no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get Data Tables requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Filter Key |
Opcional. A chave pela qual filtrar A opção Os valores possíveis são os seguintes: NameDescription |
Filter Logic |
Opcional. A lógica do filtro a aplicar. Os valores possíveis são os seguintes: Equal (para correspondências exatas)Contains(para correspondências de substring) |
Filter Value |
Opcional. O valor a usar no filtro. Os valores possíveis são os seguintes: Equal (para correspondências exatas)Contains(para correspondências de substring)
Se não for indicado nada, o filtro não é aplicado. |
Expanded Rows |
Opcional. Se estiver selecionada, a resposta inclui linhas detalhadas da tabela de dados. Não está ativada por predefinição. |
Max Data Tables To Return |
Obrigatório. O número de tabelas de dados a devolver. O valor máximo é |
Max Data Table Rows To Return |
Obrigatório. A quantidade de linhas da tabela de dados a devolver. Use este parâmetro apenas se O valor máximo é |
Resultados da ação
A ação Get Data Tables fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Get Data Tables:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table",
"displayName": "data_table",
"createTime": "2025-05-14T12:52:50.064133Z",
"updateTime": "2025-05-14T13:13:48.631442Z",
"columnInfo": [
{
"originalColumn": "columnName1",
"columnType": "STRING"
},
{
"columnIndex": 1,
"originalColumn": "columnName2",
"columnType": "STRING"
},
{
"columnIndex": 2,
"originalColumn": "columnName3",
"columnType": "STRING"
}
],
"dataTableUuid": "c3cce57bb8d940d5ac4523c37d540436",
"approximateRowCount": "2",
"rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
Mensagens de saída
A ação Get Data Tables fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully found data tables for the provided criteria in Google
SecOps |
A ação foi bem-sucedida. |
Error executing action "Get Data Tables". Reason:
ERROR_REASON |
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Get Data Tables:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Obtenha detalhes de deteção
Use a ação Get Detection Details para obter informações sobre uma deteção no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get Detection Details requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Rule ID |
Obrigatório. O ID da regra relacionada com a deteção. Use o formato |
Detection ID |
Obrigatório. O ID da deteção para obter detalhes. Se forem fornecidos carateres especiais, a ação não falha, mas devolve uma lista de deteções. |
Resultados da ação
A ação Get Detection Details (Obter detalhes da deteção) fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Get Detection Details:
{
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "singleEventRule2",
"urlBackToProduct":
"https://INSTANCE/ruleDetections?
ruleId=ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d&selectedList=RuleDetectionsViewTimeline&
selectedParentDetectionId=de_ce594791-09ed-9681-27fa-3b7c8fa6054c&
selectedTimestamp=2020-12-03T16: 50: 47.647245Z","ruleId": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d",
"ruleVersion": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d@v_1605892822_687503000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT"
}
],
"createdTime": "2020-12-03T19:19:21.325134Z",
"id": "de_ce594791-09ed-9681-27fa-3b7c8fa6054c",
"timeWindow": {
"startTime": "2020-12-03T16:50:47.647245Z",
"endTime": "2020-12-03T16:50:47.647245Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2020-12-03T16:50:47.647245Z",
"collectedTimestamp": "2020-12-03T16:50:47.666064010Z",
"eventType": "NETWORK_DNS",
"productName": "ProductName",
"ingestedTimestamp": "2020-12-03T16:50:49.494542Z"
},
"principal": {
"ip": [
"192.0.2.1"
]
},
"target": {
"ip": [
"203.0.113.1"
]
},
"securityResult": [
{
"action": [
"UNKNOWN_ACTION"
]
}
],
"network": {
"applicationProtocol": "DNS",
"dns": {
"questions": [
{
"name": "example.com",
"type": 1,
"class": 1
}
],
"id": 12345,
"recursionDesired": true
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2020-12-03T16:50:47.647245Z"
}
Mensagens de saída
A ação Get Detection Details (Obter detalhes da deteção) fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully fetched information about the detection with ID
DETECTION_ID in Google Chronicle. |
A ação foi bem-sucedida. |
Error executing action "Get Detection Details". Reason:
ERROR_REASON |
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Get Detection Details:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha listas de referências
Use a ação Get Reference Lists para obter listas de referências disponíveis no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get Reference Lists requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Filter Key |
A chave pela qual filtrar.
Os valores possíveis são os seguintes:
|
Filter Logic |
A lógica do filtro a aplicar. Os valores possíveis são os seguintes: Equal (para correspondências exatas)Contains(para correspondências de substring)O valor predefinido é |
Filter Value |
O valor a usar no filtro.
Os valores possíveis são os seguintes: Equal (para correspondências exatas)Contains(para correspondências de substring)
Se não for indicado nenhum valor, o filtro não é aplicado. |
Expanded Details |
Se selecionada, a ação devolve informações detalhadas sobre as listas de referências.
Não está ativada por predefinição. |
Max Reference Lists To Return |
O número de listas de referências a devolver.
O valor predefinido é |
Resultados da ação
A ação Get Reference List (Obter lista de referências) fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mesa de parede para caixas
Num mural de registos, a opção Obter listas de referências apresenta a seguinte tabela:
Nome: Listas de referências disponíveis
Colunas:
- Nome
- Descrição
- Tipo
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Get Reference Lists com a API Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Get Reference Lists com a API Chronicle:
[
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_ID",
"displayName": "REFERENCE_LIST_ID",
"revisionCreateTime": "2025-01-09T15:53:10.851775Z",
"description": "Test reference list",
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-09T15:53:10.851775Z"
}
]
Mensagens de saída
A ação Get Reference Lists fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action
ACTION_NAME. Reason:
ERROR_REASON
|
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action
ACTION_NAME. Reason: "Invalid
value was provided for "Max Reference Lists to Return":
PROVIIDED_VALUE. Positive number should be provided. |
A ação falhou.
Verifique o valor do parâmetro |
Script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Get Reference Lists:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha detalhes da regra
Use a ação Get Rule Details para obter informações sobre uma regra no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get Rule Details requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Rule ID |
Obrigatório. O ID da regra para obter os detalhes. |
Resultados da ação
A ação Get Rule Details (Obter detalhes da regra) fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Get Rule Details com a API Backstory:
{
"ruleId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f",
"versionId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f@v_1602631093_146879000",
"ruleName": "SampleRule",
"metadata": {
"description": "Sample Description of the Rule",
"author": "author@example.com"
},
"ruleText": "rule SampleRule {
meta:
description = \"Sample Description of the Rule\"
author = \"author@example.com\"
events:
// This will just generate lots of detections
$event.metadata.event_type = \"NETWORK_HTTP\"
condition:
$event
} ",
"liveRuleEnabled": true,
"versionCreateTime": "2020-10-13T23:18:13.146879Z",
"compilationState": "SUCCEEDED"
}
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Get Rule Details com a API Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID",
"revisionId": "v_1733917896_973567000",
"displayName": "Test_rule_SingleEvent",
"text": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"author": "example_user",
"metadata": {
"author": "example_user",
"description": "windowed single event example rule",
"severity": null
},
"createTime": "2024-12-11T11:36:18.192127Z",
"revisionCreateTime": "2024-12-11T11:51:36.973567Z",
"compilationState": "SUCCEEDED",
"type": "SINGLE_EVENT",
"allowedRunFrequencies": [
"LIVE",
"HOURLY",
"DAILY"
],
"etag": "CMj55boGEJjondAD",
"ruleId": "RULE_ID",
"versionId": "RULE_ID@v_1733917896_973567000",
"ruleName": "Test_rule_SingleEvent",
"ruleText": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"ruleType": "SINGLE_EVENT",
"versionCreateTime": "2024-12-11T11:51:36.973567Z"
}
Mensagens de saída
A ação Get Rule Details fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully fetched information about the rule with ID
RULE_ID in Google Chronicle.
|
A ação foi bem-sucedida. |
Error executing action "Get Rule Details". Reason:
ERROR_REASON
|
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Get Rule Details:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Is Value In Data Table
Use a condição Is Value In Data Table para verificar se os valores fornecidos estão numa tabela de dados no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Is Value In Data Table requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Data Table Name |
Obrigatório. O nome a apresentar da tabela de dados a pesquisar. |
Column |
Opcional. Uma lista de colunas separadas por vírgulas para pesquisar. Se não for indicado nenhum valor, a ação pesquisa todas as colunas. |
Values |
Obrigatório. Uma lista de valores separados por vírgulas a pesquisar. |
Case Insensitive Search |
Opcional. Se estiver selecionada, a pesquisa não é sensível a maiúsculas e minúsculas. Ativada por predefinição. |
Max Data Table Rows To Return |
Obrigatório. O número de linhas da tabela de dados a devolver por valor correspondente. O valor máximo é |
Resultados da ação
A ação O valor está na tabela de dados fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Is Value In Data Table:
[{
"Entity": "asda",
"EntityResult": {
"is_found": true,
"matched_rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
}]
Mensagens de saída
A ação Is Value In Data Table (O valor está na tabela de dados) fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully searched provided values in the data table {data table}
in Google SecOps.
|
A ação foi bem-sucedida. |
| Erro ao executar a ação "Is Value In Data Table" (O valor está na tabela de dados). Motivo: ERROR_REASON | A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Is Value In Data Table". Reason: the
following data tables were not found in:
DATA_TABLE_NAME:
COLUMN_NAMES. Please check the
spelling.
|
A ação falhou. |
Error executing action "Is Value In Data Table". Reason:
This action is not supported for Backstory API configuration. Please update
the integration configuration.
|
A ação falhou. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Is Value In Data Table:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Is Value In Reference List
Use a ação Is Value In Reference List para verificar se os valores fornecidos são encontrados em listas de referência no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Is Value In Reference List requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Reference List Names |
Obrigatório. Uma lista separada por vírgulas de nomes de listas de referência a pesquisar. |
Values |
Obrigatório. Uma lista de valores separados por vírgulas a pesquisar. |
Case Insensitive Search |
Opcional. Se estiver selecionada, a pesquisa não é sensível a maiúsculas e minúsculas. |
Resultados da ação
A ação Is Value In Reference List fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Is Value In Reference List com a API Backstory:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Is Value In Reference List com a API Chronicle:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
Mensagens de saída
A ação Is Value In Reference List fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully searched provided values in the reference lists in
Google Chronicle.
|
A ação foi bem-sucedida. |
| Erro ao executar a ação "Is Value In Reference List". Motivo: ERROR_REASON | A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Is Value In Reference List". Reason: the
following reference lists were not found in Google Chronicle:
MISSING_REFERENCE_LIST_NAME(S).
Please use the action "Get Reference Lists" to see what reference lists are
available.
|
A ação falhou. Execute a ação Get Reference Lists para verificar se existem listas disponíveis. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Is Value In Reference List:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Apresentar recursos
Use a ação List Assets para listar recursos no Google SecOps SIEM com base em entidades relacionadas num período especificado.
Esta ação só suporta os hashes MD5, SHA-1 e SHA-256.
Esta ação é executada nas seguintes entidades do Google SecOps:
URLIP AddressHash
Dados de ações
A ação List Assets requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Max Hours Backwards |
O número de horas anteriores ao momento atual para obter os recursos.
O valor predefinido é |
Create Insight |
Se selecionada, a ação cria uma estatística com informações
acerca das entidades. Ativada por predefinição. |
Max Assets To Return |
O número de recursos a devolver. O valor predefinido é
|
Time Frame |
Opcional. Um período para obter os resultados. Os valores possíveis são os seguintes:
Se O valor predefinido é |
Start Time |
A hora de início no formato ISO 8601. Este parâmetro é obrigatório se o parâmetro
|
End Time |
A hora de fim no formato ISO 8601.
Se não definir um valor e definir o parâmetro |
Resultados da ação
A ação List Assets (Listar recursos) fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mesa de parede para caixas
Nome: ENTITY_IDENTIFIER
Colunas:
- Nome do anfitrião
- Endereço IP
- First Seen Artifact
- Last Seen Artifact
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação List Assets com a API Backstory:
{
"assets": [
{
"asset": {
"hostname": "example"
},
"firstSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-02-28T09:18:15.675Z"
},
"lastSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-09-24T06:43:59Z"
}
}
],
"uri": [
"https://INSTANCE/domainResults?domain=www.example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2020-09-27T12%3A07%3A34.166830443Z"
]
}
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação List Assets com a API Chronicle:
[
{
"Entity": "192.0.2.229",
"EntityResult": {
"assets": [
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Open Source Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2024-09-20T14:14:07.843Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Open Source Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "OPEN_SOURCE_INTEL_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "ex ",
"valueType": "DOMAIN_NAME"
}
},
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Active Breach Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2023-07-05T02:42:52.935Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Active Breach Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "MANDIANT_ACTIVE_BREACH_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "example.com",
"valueType": "DOMAIN_NAME"
}
}
],
"uri": "https://INSTANCE.backstory.chronicle.security/destinationIpResults?ADDRESS=192.0.2.229&selectedList=IpViewDistinctAssets&referenceTime=2025-01-23T11%3A16%3A24.517449Z"
}
}
]
Mensagens de saída
A ação List Assets fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully listed related assets for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
A ação foi bem-sucedida. |
Error executing action "List Assets". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação List Assets:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Apresentar eventos
Use a ação List Events para listar eventos num recurso específico num período especificado.
Esta ação só pode obter 10 000 eventos.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP addressMAC addressHostname
Dados de ações
A ação List Events requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Event Types |
Uma lista separada por vírgulas de tipos de eventos.
Se não for indicado nenhum valor, são obtidos todos os tipos de eventos. Para ver uma lista de todos os valores possíveis, consulte os Valores possíveis do tipo de evento. |
Time Frame |
O período especificado. Recomendamos que o mantenha o mais pequeno possível para obter melhores resultados.
Se Se Os valores possíveis são os seguintes:
O valor predefinido é |
Start Time |
A hora de início no formato ISO 8601. Este parâmetro é obrigatório se o parâmetro |
End Time |
A hora de fim no formato ISO 8601. Se não for indicado nenhum valor e o parâmetro Este parâmetro aceita o valor |
Reference Time |
A hora de referência para a pesquisa de eventos.
Se não for indicado nenhum valor, a ação usa a hora de fim como referência. |
Output |
Obrigatório. O formato de saída. Os valores possíveis são os seguintes:
|
Max Events To Return |
O número de eventos a processar para cada tipo de entidade. O valor predefinido é |
Valores possíveis do tipo de evento
Os valores possíveis para o parâmetro Event Type são os seguintes:
EVENTTYPE_UNSPECIFIEDPROCESS_UNCATEGORIZEDPROCESS_LAUNCHPROCESS_INJECTIONPROCESS_PRIVILEGE_ESCALATIONPROCESS_TERMINATIONPROCESS_OPENPROCESS_MODULE_LOADREGISTRY_UNCATEGORIZEDREGISTRY_CREATIONREGISTRY_MODIFICATIONREGISTRY_DELETIONSETTING_UNCATEGORIZEDSETTING_CREATIONSETTING_MODIFICATIONSETTING_DELETIONMUTEX_UNCATEGORIZEDMUTEX_CREATIONFILE_UNCATEGORIZEDFILE_CREATIONFILE_DELETIONFILE_MODIFICATIONFILE_READFILE_COPYFILE_OPENFILE_MOVEFILE_SYNCUSER_UNCATEGORIZEDUSER_LOGINUSER_LOGOUTUSER_CREATIONUSER_CHANGE_PASSWORDUSER_CHANGE_PERMISSIONSUSER_STATSUSER_BADGE_INUSER_DELETIONUSER_RESOURCE_CREATIONUSER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_UPDATE_PERMISSIONSUSER_COMMUNICATIONUSER_RESOURCE_ACCESSUSER_RESOURCE_DELETIONGROUP_UNCATEGORIZEDGROUP_CREATIONGROUP_DELETIONGROUP_MODIFICATIONEMAIL_UNCATEGORIZEDEMAIL_TRANSACTIONEMAIL_URL_CLICKNETWORK_UNCATEGORIZEDNETWORK_FLOWNETWORK_CONNECTIONNETWORK_FTPNETWORK_DHCPNETWORK_DNSNETWORK_HTTPNETWORK_SMTPSTATUS_UNCATEGORIZEDSTATUS_HEARTBEATSTATUS_STARTUPSTATUS_SHUTDOWNSTATUS_UPDATESCAN_UNCATEGORIZEDSCAN_FILESCAN_PROCESS_BEHAVIORSSCAN_PROCESSSCAN_HOSTSCAN_VULN_HOSTSCAN_VULN_NETWORKSCAN_NETWORKSCHEDULED_TASK_UNCATEGORIZEDSCHEDULED_TASK_CREATIONSCHEDULED_TASK_DELETIONSCHEDULED_TASK_ENABLESCHEDULED_TASK_DISABLESCHEDULED_TASK_MODIFICATIONSYSTEM_AUDIT_LOG_UNCATEGORIZEDSYSTEM_AUDIT_LOG_WIPESERVICE_UNSPECIFIEDSERVICE_CREATIONSERVICE_DELETIONSERVICE_STARTSERVICE_STOPSERVICE_MODIFICATIONGENERIC_EVENTRESOURCE_CREATIONRESOURCE_DELETIONRESOURCE_PERMISSIONS_CHANGERESOURCE_READRESOURCE_WRITTENANALYST_UPDATE_VERDICTANALYST_UPDATE_REPUTATIONANALYST_UPDATE_SEVERITY_SCOREANALYST_UPDATE_STATUSANALYST_ADD_COMMENT
Resultados da ação
A ação List Events fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação List Events:
{
"statistics": {
"NETWORK_CONNECTION": 10
}
{
"events": [
{
"metadata": {
"eventTimestamp": "2020-09-28T14:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
},
{
"metadata": {
"eventTimestamp": "2020-09-28T17:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
}
],
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=user-example-pc&referenceTime=2020-09-28T17%3A00%3A00Z&selectedList=AssetViewTimeline&startTime=2020-09-28T14%3A20%3A00Z&endTime=2020-09-28T20%3A20%3A00Z"
]
}
}
Mensagens de saída
A ação List Events fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully listed related events for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
A ação foi bem-sucedida. |
Error executing action "List Events". Reason:
ERROR_REASON
|
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "List Events". Reason: invalid event type
is provided. Please check the spelling. Supported event types:
SUPPORTED_EVENT_TYPES
|
A ação falhou.
Verifique a ortografia. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação List Events:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Liste IOCs
Use a ação List IOCs para listar todos os IOCs descobertos na sua empresa num intervalo de tempo especificado.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação List IOCs requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Start Time |
A hora de início dos resultados no formato ISO 8601. |
Max IoCs to Fetch |
O número máximo de IoCs a devolver.
O intervalo é O valor predefinido é |
Resultados da ação
A ação List IOCs fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mesa de parede para caixas
Colunas:
- Domínio
- Categoria
- Fonte
- Confiança
- Gravidade
- Tempo de carregamento de IoC
- Hora da primeira deteção do IoC
- IoC Last Seen Time
- URI
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação List IOCs:
{
"matches":[
{
"artifact":{
"domainName":"www.example.com"
},
"firstSeenTime":"2018-05-25T20:47:11.048998Z",
"iocIngestTime":"2019-08-14T21:00:00Z",
"lastSeenTime":"2019-10-24T16:19:46.880830Z",
"sources":[
{
"category":"Spyware Reporting Server",
"confidenceScore":{
"intRawConfidenceScore":0,
"normalizedConfidenceScore":"Low"
},
"rawSeverity":"Medium",
"source":"Example List"
}
],
"uri":["URI"]
}
],
"moreDataAvailable":true
}
Mensagens de saída
A ação List IOCs fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully listed IOCs from the provided timeframe in Google
Chronicle. |
A ação foi bem-sucedida. |
Error executing action "List IOCs". Reason:
ERROR_REASON.
|
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação List IOCs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Pesquise alertas semelhantes
Use a ação Pesquisar alertas semelhantes para pesquisar alertas semelhantes no Google SecOps.
Esta ação só funciona com alertas do Google SecOps recebidos do conector de alertas do Chronicle.
Dados de ações
A ação Procurar alertas semelhantes requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Time Frame |
O período especificado para os resultados. Para obter os melhores resultados, mantenha
o intervalo de tempo o mais restrito possível.
Os valores possíveis são os seguintes:
|
IOCs / Assets |
Obrigatório. Uma lista separada por vírgulas de IoCs ou recursos a encontrar nos alertas. A ação faz uma pesquisa separada para cada item fornecido. |
Similarity By |
Os atributos a usar para encontrar alertas semelhantes. Os valores possíveis são os seguintes:
O valor predefinido é |
Como funciona o parâmetro Semelhança por
O parâmetro Similarity By aplica-se de forma diferente aos alertas de regras e aos alertas externos.
Se
Alert Name, Alert Type and ProductouAlert Name, Alert Typeestiver selecionado:Para alertas externos, a ação procura outros alertas externos que tenham o mesmo nome.
Para alertas de regras, a ação processa alertas originados da mesma regra.
Se
Productestiver selecionado:- A ação processa alertas originados do mesmo produto, independentemente de serem alertas de regras ou alertas externos.
Por exemplo, um alerta originado no Crowdstrike só é associado a outros alertas do Crowdstrike.
Se
Only IOCs/Assetsestiver selecionado:A ação corresponde a alertas com base nos IOCs fornecidos no parâmetro
IOCs/Assets. Procura estes indicadores em alertas de regras e alertas externos.Um alerta de IOC só pode executar esta ação quando esta opção está selecionada. Se for fornecida qualquer outra opção, a ação é predefinida para
Only IOCs/Assets.
A ação Procurar alertas semelhantes é uma ferramenta versátil para analisar alertas. Permite aos analistas correlacionar alertas do mesmo período e extrair IOCs relevantes para determinar se um incidente é um verdadeiro positivo.
Resultados da ação
A ação Procurar alertas semelhantes fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Lookup Similar Alerts:
{
"count": 123,
"distinct": [
{
"first_seen": "time of the first alert that matched our conditions",
"last_seen": "time of the last alert that matched our conditions",
"product_name": "product name",
"used_ioc_asset": "what user provided in the parameter IOCs and Assets",
"name": "Alert Name/Rule Name",
"hostnames": "csv list of unique hostnames that were found in alerts",
"urls": "csv list of unique urls that were found in alerts",
"ips": "csv list of unique ips that were found in alerts",
"subjects": "csv list of unique subjects that were found in alerts",
"users": "csv list of unique users that were found in alerts",
"email_addresses": "csv list of unique email_addresses that were found in alerts",
"hashes": "csv list of unique hashes that were found in alerts",
"processes": "csv list of unique processes that were found in alerts"
"rule_urls": ["Chronicle URL from API response for Rule"]
"count": 123
}
],
"processed_alerts": 10000,
"run_time": "how long it took to run the action or at least API request",
"EXTERNAL_url": "Chronicle URL from API response for EXTERNAL"
}
Mensagens de saída
A ação Procurar alertas semelhantes apresenta as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Lookup Similar Alerts". Reason:
ERROR_REASON
|
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Lookup Similar Alerts". Reason: all of the
retries are exhausted. Please wait for a minute and try again.
|
A ação falhou. Aguarde um minuto antes de executar novamente a ação. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Lookup Similar Alerts:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Mesa de parede para caixas
Nome da tabela: IOC/ASSET_IDENTIFIER
Colunas da tabela:
- Produto
- Nomes de anfitrião
- IPs
- Utilizadores
- Endereços de email
- Assuntos
- URLs
- Hashes
- Processos
- Primeira visualização
- Última atividade
- Nome do alerta
- Geral
Link da parede da caixa
A ação Pesquisar alertas semelhantes pode devolver os seguintes links:
- CBN: GENERATED_LINK_BASED_ON_IU_ROOT_URL
- Regra: GENERATED_LINK_BASED_ON_IU_ROOT_URL
Tchim-tchim
Use a ação Ping para testar a conetividade com o Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Ping fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping apresenta as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully connected to the Google Chronicle backstory with the
provided connection parameters! |
A ação foi bem-sucedida. |
Failed to connect to the Google Chronicle backstory. Error is
ERROR_REASON
|
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores para o resultado do script quando usa a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Remova linhas da tabela de dados
Use a ação Remover linhas da tabela de dados para remover linhas de uma tabela de dados no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Remover linhas da tabela de dados requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Data Table Name |
Obrigatório. O nome a apresentar da tabela de dados a atualizar. |
Rows |
Obrigatório. Uma lista de objetos JSON usados para pesquisar e eliminar linhas. Só devem ser incluídas colunas válidas. O valor predefinido é: |
Resultados da ação
A ação Remover linhas da tabela de dados fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Remover linhas da tabela de dados:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
Mensagens de saída
A ação Remover linhas da tabela de dados fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully removed rows from the data table
DATA_TABLE_NAME in
Google SecOps.
|
A ação foi bem-sucedida. |
Error executing action "Remove Rows From Data Table". Reason:
ERROR_REASON
|
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Remover linhas da tabela de dados:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Remova valores da lista de referência
Use a ação Remover valores da lista de referência para remover valores de uma lista de referência no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Remover valores da lista de referência requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Reference List Name |
Obrigatório. O nome da lista de referência a atualizar. |
Values |
Obrigatório. Uma lista de valores separados por vírgulas a remover da lista de referência. |
Resultados da ação
A ação Remover valores da lista de referência fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Remove Values From Reference List com a API Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Remover valores da lista de referência com a API Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/<var class="readonly">REFERENCE_LIST_NAME</var>' }}",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Mensagens de saída
A ação Remover valores da lista de referência fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully removed values from the reference list.
|
A ação foi bem-sucedida. |
Error executing action "Remove Values From Reference List". Reason:
ERROR_REASON
|
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Remover valores da lista de referência:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conetores
Para mais detalhes sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).
Google Chronicle – Conetor de alertas do Chronicle
Use o Google Chronicle - Chronicle Alerts Connector para extrair informações sobre alertas baseados em regras do SIEM do Google SecOps.
Este conetor pode ser filtrado através de uma lista dinâmica.
Vista geral
O Google Chronicle – Conetor de alertas do Chronicle carrega vários tipos de alertas do SIEM do Google SecOps.
As principais funcionalidades e detalhes operacionais incluem:
Consulta dados num período de uma semana.
Para evitar alertas perdidos devido a atrasos na indexação, pode configurar um período de preenchimento e um tempo limite de conector aumentado, embora um preenchimento significativo possa afetar negativamente o desempenho.
O conetor usa listas dinâmicas para uma configuração flexível.
Fornece um
Fallback Severitypara alertas que não têm um valor de gravidade.Para carregar IoCs, tem de criar uma regra de deteção correspondente no Google SecOps SIEM que gere alertas com base nos IoCs.
Filtro de lista dinâmica
A lista dinâmica é usada para filtrar alertas diretamente na página de configuração do conector.
Lógica do operador
A lista dinâmica usa uma combinação de lógica E e OU para processar regras de filtro:
Lógica OU: os valores na mesma linha, separados por uma vírgula, são tratados com a lógica OU (por exemplo,
Rule.severity = low,mediumsignifica gravidadelowOUmedium).Lógica E: cada linha separada na lista dinâmica é tratada com a lógica E (por exemplo, uma linha para
Rule.severitye uma linha paraRule.ruleNamesignificaseverityEruleName).Os operadores suportados (
=,!=,>,<,>=e<=) variam consoante a chave do filtro.
Seguem-se exemplos de utilização de regras de operador:
- Rule.severity = medium: o conector só carrega alertas de regras com a gravidade média.
- Rule.severity = low,medium: o conetor só carrega alertas de regras com gravidade média ou baixa.
- Rule.ruleName = default_rule: o conector só carrega alertas de regras com o nome
default_rule.
Filtros suportados
O Chronicle ALerts Connector suporta a filtragem nas seguintes chaves:
| Chave de filtro | Chave de resposta | Operadores | Valores possíveis |
|---|---|---|---|
Rule.severity |
detection ou ruleLabels ou severity |
=, !=, >, <,
>=, <= |
Os valores não são sensíveis a maiúsculas e minúsculas. |
Rule.ruleName |
detection ou ruleName |
=, != |
Definido pelo utilizador. |
Rule.ruleID |
detection ou ruleId |
=, != |
Definido pelo utilizador. |
Rule.ruleLabels.{key} |
detection ou ruleLabels |
=, != |
Definido pelo utilizador. |
Manuseamento ruleLabels
Para filtrar por uma etiqueta específica numa regra, use o formato Rule.ruleLabels.{key}.
Por exemplo, para filtrar por uma etiqueta com a chave type e o valor suspicious_behaviour, a entrada da lista dinâmica deve ser:
Rule.ruleLabels.type=suspicious_behaviour
Entradas do conetor
O Conector de alertas do Chronicle requer os seguintes parâmetros:
O valor predefinido é Medium.
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). |
Environment Field Name |
Opcional. O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. O valor predefinido é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo limite, em segundos, para o processo Python que executa o script atual. O valor predefinido é |
API Root |
Obrigatório. A raiz da API da instância do SIEM do Google SecOps. O Google SecOps fornece pontos finais regionais para cada API, por exemplo, Contacte o Cloud Customer Care para saber que ponto final usar. O valor predefinido é |
User's Service Account |
Obrigatório. O conteúdo JSON completo da conta de serviço usada para autenticação. |
Fallback Severity |
Obrigatório. A gravidade predefinida a usar se o alerta do SIEM do Google SecOps não incluir um valor de gravidade. Os valores possíveis são os seguintes:
|
Max Hours Backwards |
Opcional. O número de horas antes da execução inicial do conector para obter incidentes. Este parâmetro aplica-se apenas uma vez. O valor máximo é O valor predefinido é |
Max Alerts To Fetch |
Opcional. O número de alertas a processar em cada iteração do conector. O valor predefinido é |
Disable Event Splitting |
Opcional. Se selecionado, o conector não divide os eventos originais em várias partes, o que garante que a contagem de eventos corresponde entre a origem e o Google SecOps SOAR. Não está ativada por predefinição. |
Verify SSL |
Obrigatório. Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor SIEM do Google SecOps. Ativada por predefinição. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a usar. |
Proxy Username |
Opcional. O nome de utilizador do proxy para autenticação. |
Proxy Password |
Opcional. A palavra-passe do proxy para autenticação. |
Disable Overflow |
Opcional. Se selecionado, o conetor ignora o mecanismo de overflow do Google SecOps. Não está ativada por predefinição. |
Regras de conector
O Google Chronicle – Conetor de alertas do Chronicle suporta proxies.
Eventos de conetores
O Google Chronicle – Conetor de alertas do Chronicle processa três tipos de eventos do SIEM do Google SecOps.
Alertas baseados em regras
Este tipo de evento é gerado por uma regra de deteção no Google SecOps SIEM.
{
"alert_type": "RULE",
"event_type": "NETWORK_DHCP",
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "d3_test",
"urlBackToProduct": "https://INSTANCE/ruleDetections?ruleId=ru_74dd17e2-5aad-4053-acd7-958bead014f2&selectedList=RuleDetectionsViewTimeline&selectedParentDetectionId=de_b5dadaf4-b398-325f-9f09-833b71b3ffbb&selectedTimestamp=2022-02-08T05:02:36Z&versionTimestamp=2020-11-19T18:19:11.951951Z",
"ruleId": "ru_74dd17e2-5aad-4053-acd7-958bead014f2",
"ruleVersion": "ru_74dd17e2-5aad-4053-acd7-958bead014f2@v_1605809951_951951000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT",
"ruleLabels": [
{
"key": "author",
"value": "analyst123"
},
{
"key": "description",
"value": "8:00 AM local time"
},
{
"key": "severity",
"value": "Medium"
}
]
}
],
"createdTime": "2022-02-08T06:07:33.944951Z",
"id": "de_b5dadaf4-b398-325f-9f09-833b71b3ffbb",
"timeWindow": {
"startTime": "2022-02-08T05:02:36Z",
"endTime": "2022-02-08T05:02:36Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2022-02-08T05:02:36Z",
"eventType": "NETWORK_DHCP",
"productName": "Infoblox DHCP",
"ingestedTimestamp": "2022-02-08T05:03:03.892234Z"
},
"principal": {
"ip": [
"198.51.100.255",
"198.51.100.1"
],
"mac": [
"01:23:45:ab:cd:ef"
],
"email_address": [
"example@example.com"
]
},
"target": {
"hostname": "dhcp_server",
"ip": [
"198.51.100.0",
"198.51.100.1"
]
},
"network": {
"applicationProtocol": "DHCP",
"dhcp": {
"opcode": "BOOTREQUEST",
"ciaddr": "198.51.100.255",
"giaddr": "198.51.100.0",
"chaddr": "01:23:45:ab:cd:ef",
"type": "REQUEST",
"clientHostname": "example-user-pc",
"clientIdentifier": "AFm/LDfjAw=="
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2022-02-08T05:02:36Z"
}
Alertas externos
Este tipo de evento baseia-se num alerta externo carregado no SIEM do Google SecOps.
{
"alert_type": "External",
"event_type": "GENERIC_EVENT",
"name": "Authentication failure [32038]",
"sourceProduct": "Internal Alert",
"severity": "Medium",
"timestamp": "2020-09-30T18:03:34.898194Z",
"rawLog": "U2VwIDMwIDE4OjAzOjM0Ljg5ODE5NCAxMC4wLjI5LjEwOSBBdXRoZW50aWNhdGlvbiBmYWlsdXJlIFszMjAzOF0=",
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=198.51.100.109&namespace=[untagged]&referenceTime=2020-09-30T18%3A03%3A34.898194Z&selectedList=AssetViewTimeline&startTime=2020-09-30T17%3A58%3A34.898194Z&endTime=2020-09-30T18%3A08%3A34.898194Z&selectedAlert=-610875602&selectedEventTimestamp=2020-09-30T18%3A03%3A34.898194Z"
],
"event": {
"metadata": {
"eventTimestamp": "2020-09-30T18:03:34.898194Z",
"eventType": "GENERIC_EVENT",
"productName": "Chronicle Internal",
"ingestedTimestamp": "2020-09-30T18:03:34.991592Z"
},
"target": [
{
"ip": [
"198.51.100.255",
"198.51.100.1"
]
}
],
"securityResult": [
{
"summary": "Authentication failure [32038]",
"severityDetails": "Medium"
}
]
}
}
Alertas de IoC
Este tipo de evento é uma correspondência com uma lista predefinida de IOCs.
{
"alert_type": "IOC",
"event_type": "IOC Alert",
"artifact": {
"domainName": "example.com"
},
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2020-09-07T11:00:00Z",
"firstSeenTime": "2018-10-03T00:01:59Z",
"lastSeenTime": "2022-02-04T20:02:29.191Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-08T15%3A08%3A52.434022777Z"
]
}
Estrutura do alerta
A tabela seguinte descreve como o Google Chronicle - Chronicle Alerts Connector preenche os atributos de um alerta no Google SecOps. Os atributos dos alertas são agrupados pela respetiva origem e tipo de alerta para maior clareza.
Atributos gerados internamente
Estes atributos são gerados pela framework e são consistentes em todos os tipos de alertas.
| Nome do atributo de alerta | Origem |
|---|---|
SourceSystemName |
Gerado internamente pela framework. |
TicketId |
O valor é retirado do ficheiro ids.json. |
DisplayId |
Gerado automaticamente. |
Atributos para todos os tipos de alertas
Estes atributos são derivados do alerta de origem, mas a respetiva chave de origem varia consoante o tipo de alerta.
| Nome do atributo de alerta | Origem |
|---|---|
Priority |
Obtido da resposta da API ou do parâmetro Fallback Severity. |
DeviceVendor |
O valor codificado é Google Chronicle. |
DeviceProduct |
Um valor codificado que depende do tipo de alerta: RULE para alertas de deteção de regras, IOC para correspondências de IOC ou EXTERNAL para alertas externos. |
Description |
Para alertas baseados em regras, esta informação é proveniente de detection/ruleLabels/description (se existir). Não disponível para outros tipos de alertas. |
Reason |
Não disponível. |
SourceGroupingIdentifier |
Não disponível. |
Chronicle Alert - Attachments |
Não disponível. |
Tipos de alertas específicos
Estes atributos são específicos da origem do alerta, o que facilita a compreensão de como cada um é preenchido.
| Nome do atributo de alerta | Alertas baseados em regras | Alertas baseados em COI | Alertas externos |
|---|---|---|---|
Name |
detection/ruleName |
IOC Alert (codificado) |
alertInfos/name |
RuleGenerator |
detection/ruleName |
IOC Alert (codificado) |
alertInfos/name |
StartTime e EndTime |
timeWindow ou startTime |
lastSeenTime |
timestamp |
Chronicle Alert - Extensions |
rule_id (ruleId), product_name (CSV de um evento ou metadados, ou um valor productName) |
Não aplicável | alert_name (name), product_name (CSV
de um evento UDM, metadados ou um valor productName) |
Obsoleto: conetor de alertas do Google Chronicle
Este conetor extrai alertas de recursos do SIEM do Google SecOps e converte-os em alertas do SIEM do Google SecOps.
Pode autenticar-se através da biblioteca Google com google.oauth2.service_account e AuthorizedSession.
Este conetor requer a API de pesquisa do SIEM do Google SecOps.
Entradas do conetor
O
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório.
O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
Environment Field Name |
Opcional. O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. O valor predefinido é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo limite, em segundos, para o processo Python que executa o script atual. O valor predefinido é |
Service Account Credentials |
Obrigatório. O conteúdo do ficheiro JSON da conta de serviço. |
Fetch Max Hours Backwards |
Opcional. O número de horas antes da execução inicial do conector para obter incidentes. Este parâmetro aplica-se apenas uma vez. O valor máximo é O valor predefinido é |
Descontinuado: conetor de IoCs do Google Chronicle
Em alternativa, use o Chronicle Alerts Connector.
Este conetor extrai as correspondências de domínios de IOC do SIEM do Google SecOps e converte-as em alertas do SIEM do Google SecOps.
Pode autenticar-se através da biblioteca Google com google.oauth2.service_account e AuthorizedSession.
Este conetor usa a API Google SecOps SIEM Search.
Entradas do conetor
O conector Google Chronicle - IoCs requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório.
O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
Environment Field Name |
Opcional. O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. O valor predefinido é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo limite, em segundos, para o processo Python que executa o script atual. O valor predefinido é |
Service Account Credentials |
Obrigatório. O conteúdo do ficheiro JSON da conta de serviço. |
Fetch Max Hours Backwards |
Opcional. O número de horas antes da execução inicial do conector a partir das quais as alertas devem ser obtidos. Este parâmetro aplica-se apenas uma vez. O valor máximo é O valor predefinido é |
Max Alerts To Fetch |
Opcional. O número máximo de alertas a processar em cada iteração do conector. O valor predefinido é |
| Campo monitorizado | Campo sincronizado |
|---|---|
Priority |
Priority |
Status |
Status |
Title |
Title |
| Não aplicável | Stage |
| Não aplicável | Google SecOps Case ID |
| Não aplicável | Google SecOps Case ID |
O ID do registo do Google SecOps é um identificador exclusivo do registo no Google SecOps SOAR e no Google SecOps SIEM.
A tarefa Google Chronicle Sync Data monitoriza e sincroniza os seguintes campos para alertas:
| Campo monitorizado | Campo sincronizado |
|---|---|
Priority |
Priority |
Status |
Status |
Case ID |
Não aplicável |
| Não aplicável | Google SecOps Alert ID |
| Não aplicável | Google SecOps Case ID |
| Não aplicável | Verdict |
| Não aplicável | Closure Comment |
| Não aplicável | Closure Reason |
| Não aplicável | Closure Root Cause |
| Não aplicável | Usefulness |
O ID de alerta do Google SecOps é um identificador de alerta exclusivo no SOAR do Google SecOps.
Numa iteração, a tarefa sincroniza até 1000 registos e 1000 alertas. A sincronização ocorre no ambiente SOAR do Google SecOps especificado na configuração da tarefa. O mecanismo de sincronização garante que não é possível sincronizar um registo do ambiente especificado com outro ambiente.
Configure a tarefa de dados de sincronização do Google Chronicle
Esta tarefa apenas sincroniza os registos do SOAR do Google SecOps que foram carregados a partir do SIEM do Google SecOps.
Certifique-se de que concluiu os passos pré-requisitos antes de configurar a tarefa.
Para configurar a tarefa Google Chronicle Sync Data, siga estes passos:
Na secção Parâmetros, configure os seguintes parâmetros:
Parâmetro Descrição EnvironmentObrigatório.
O nome do ambiente criado no Google SecOps SOAR onde quer sincronizar registos e alertas.
API RootObrigatório.
A raiz da API da instância do SIEM do Google SecOps.
O Google SecOps fornece pontos finais regionais para cada API.
Por exemplo,
https://europe-backstory.googleapis.comouhttps://asia-southeast1-backstory.googleapis.com.Se não souber que ponto final usar, [contacte o apoio ao cliente da Google Cloud](/chronicle/docs/getting-support).
O valor predefinido é
https://backstory.googleapis.com.User's Service AccountObrigatório.
O conteúdo do ficheiro JSON da conta de serviço da sua instância do Google SecOps SIEM.
Max Hours BackwardsOpcional.
O número de horas a partir das quais recolher alertas. Use apenas números positivos. Se introduzir 0 ou um número negativo, é comunicado um erro. Se este parâmetro estiver vazio, a tarefa usa o valor predefinido.
O valor predefinido é
24.Verify SSLObrigatório.
Se esta opção estiver selecionada, o Google SecOps verifica se o certificado SSL para estabelecer ligação ao servidor SIEM do Google SecOps é válido. Recomendamos que selecione esta opção.
Selecionado por predefinição.
A tarefa Google Chronicle Sync Data está ativada por predefinição. Quando guarda a tarefa configurada corretamente, esta começa a sincronizar dados com o SIEM do Google SecOps imediatamente. Para desativar a tarefa, ative/desative o interruptor junto ao nome da tarefa.
Para concluir a configuração, clique em Guardar.
Se o botão Guardar estiver inativo, certifique-se de que definiu todos os parâmetros obrigatórios.
Opcional: para executar a tarefa imediatamente após guardar, clique em Executar agora.
A opção Executar agora permite-lhe acionar uma única execução de tarefa que sincroniza os dados atuais de alertas e registos do Google SecOps SOAR com o Google SecOps SIEM.
Mensagens de registo
A tabela seguinte indica possíveis mensagens de registo para a tarefa Google Chronicle Data Sync:
| Entrada do registo | Tipo | Descrição |
|---|---|---|
Unable to parse credentials as JSON. Please validate creds.
|
Erro | A conta de serviço fornecida no parâmetro User's Service Account
está danificada. |
"Max Hours Backwards" parameter must be a positive number. |
Erro | O parâmetro Max Hours backwards está definido como 0 ou um número negativo. |
Current platform version does not support SDK methods designed for
Google SecOps. Please use version 6.1.33 or higher. |
Erro | A versão atual da instância da plataforma Google SecOps não suporta a execução do script da tarefa de dados de sincronização do Chronicle. Isto significa que a versão de compilação da instância é anterior à 6.1.33. |
Unable to connect to Google SecOps, please validate
your credentials: CREDENTIALS |
Erro | Não foi possível validar a conta de serviço ou os valores raiz da API na instância do SIEM do Google SecOps. Este erro é comunicado se o teste de conetividade falhar. |
--- Start Processing Updated Cases --- |
Informações | O ciclo de processamento do registo começou a ser executado. |
Last success time. Date time:DATE_AND_TIME.
Unix:UNIX_EPOCH_TIME
|
Informações | A data/hora da última execução bem-sucedida do script para registos ou alertas:
|
Key: "DATABASE_KEY" does not exist in the
database. Returning default
value instead: DEFAULT_VALUE |
Informações | A chave da base de dados de alertas ou registos pendentes não existe na base de dados. Esta entrada de registo aparece sempre na primeira execução do script. |
Failed to parse data as JSON. Returning default value instead:
"DEFAULT_VALUE. ERROR:
ERROR |
Erro | O valor obtido da base de dados não está num formato JSON válido. |
Exception was raised from the database. ERROR:
ERROR. |
Erro | Existe um problema de ligação com a base de dados. |
|
Informações | Os IDs de alertas ou registos pendentes foram obtidos com êxito do backlog. CASE_IDS é o número de IDs dos registos apresentados. |
|
Erro | O número de IDs de alertas ou registos pendentes obtidos da base de dados é superior ao limite (1000). Os IDs que excedam o limite são ignorados. Este erro pode indicar uma possível corrupção da base de dados. |
|
Informações | Os IDs de alertas ou registos atualizados foram obtidos com êxito a partir da plataforma. |
|
Informações | A atualização de registos e alertas na instância do SIEM do Google SecOps começou. |
|
Erro | Não é possível sincronizar o alerta ou o registo especificado com o SIEM do Google SecOps. |
|
Informações | O alerta ou o registo pendente especificado atingiu o limite de novas tentativas de sincronização (5) e não é reinserido na lista de pendências. |
|
Informações | A lista de IDs de registos ou alertas que não podem ser sincronizados com o SIEM do Google SecOps. |
Updated External Case IDs for the following cases:
CASE_IDS |
Informações | A lista de registos para os quais a tarefa atualizou o ID do registo externo do SIEM do Google SecOps na plataforma SOAR do Google SecOps. |
Failed to update external ids. |
Erro | A entrada de registo que indica que houve um problema com o método do SDK ou a ligação que impediu a atualização dos IDs dos registos externos na plataforma. |
|
Erro | A entrada de registo que indica que ocorreu um determinado erro de terminação que impediu que o ciclo de processamento de casos ou alertas terminasse naturalmente. O rastreio da pilha é impresso após este registo com o erro específico. |
|
Informações | O ciclo de processamento de registos e alertas terminou, de forma natural ou com um erro. |
|
Erro | A lista de IDs de registos ou alertas com falhas que têm uma contagem de novas tentativas inferior ou igual a 5 a serem reescritos no backlog. |
|
Informações | A fase de processamento do registo e do alerta foi concluída. |
Saving timestamps. |
Informações | Guardar as datas/horas da última atualização bem-sucedida do registo e do alerta na base de dados. |
Saving pending ids. |
Informações | Guardar IDs de registos e alertas pendentes na base de dados. |
Got exception on main handler. Error:
ERROR_REASON |
Erro | Ocorreu um erro de encerramento geral. A stacktrace é impressa após este registo com o erro específico. |
Tarefa de criador de alertas do Google Chronicle
A tarefa Google Chronicle Alerts Creator requer a versão 6.2.30 ou posterior da plataforma Google SecOps.
Esta tarefa cria todos os alertas do SOAR do Google SecOps para o SIEM do Google SecOps, incluindo alertas de overflow. A tarefa Google Chronicle Alerts Creator não replica alertas provenientes do Google SecOps.
A tarefa Google Chronicle Alerts Creator consulta a plataforma SOAR através do SDK do Python para alertas não sincronizados. A tarefa envia alertas não sincronizados para o SIEM individualmente. O SIEM atualiza e devolve os identificadores dos alertas do SIEM correspondentes, e o SOAR guarda os identificadores através da API da plataforma SOAR através do SDK Python.
Relação entre as tarefas do Google Chronicle
Um sistema Google SecOps completo executa os seguintes três componentes em simultâneo:
- Chronicle Alerts Connector
- Tarefa Google Chronicle Sync Data
- Trabalho de Google Chronicle Alerts Creator
A tarefa Google Chronicle Sync Data cria e sincroniza registos. Também sincroniza as modificações de registos e alertas, como alterações de prioridade.
A tarefa Google Chronicle Alerts Creator gera todos os alertas, exceto os alertas do SIEM. A tarefa Google Chronicle Sync Data envia atualizações sobre alertas não sincronizados após a tarefa Google Chronicle Alerts Creator criar os alertas.
Sincronização de dados de casos e alertas
Os registos são sincronizados da mesma forma que com a tarefa de dados do Google Chronicle Sync.
No Google SecOps SIEM, cada alerta é identificado com um identificador de alerta do SIEM. Os alertas SOAR podem adotar um identificador SIEM em dois cenários:
O alerta é gerado no SIEM.
Este alerta já existe no SIEM do Google SecOps e não é necessário duplicá-lo. O conetor preenche o campo
siem_alert_id.O alerta é gerado em conetores de terceiros.
Este alerta não existe no SIEM do Google SecOps e requer a execução de uma operação de sincronização explícita da qual a tarefa Google Chronicle Alerts Creator é responsável. Após a conclusão da operação de sincronização, o alerta adquire um novo identificador do SIEM.
Configure a tarefa do criador de alertas do Google Chronicle
Certifique-se de que concluiu os passos pré-requisitos antes de configurar a tarefa.
Para configurar a tarefa Google Chronicle Alerts Creator, siga estes passos:
Configure os parâmetros da tarefa na tabela seguinte:
Parâmetro Descrição EnvironmentObrigatório.
O nome do ambiente criado no Google SecOps SOAR onde quer sincronizar registos e alertas.
API RootObrigatório.
A raiz da API da instância do SIEM do Google SecOps.
O Google SecOps fornece pontos finais regionais para cada API.
Por exemplo,
https://europe-backstory.googleapis.comouhttps://asia-southeast1-backstory.googleapis.com.Se não souber que ponto final usar, [contacte o apoio ao cliente da Google Cloud](/chronicle/docs/getting-support).
O valor predefinido é
https://backstory.googleapis.com.User's Service AccountObrigatório.
O conteúdo do ficheiro JSON da conta de serviço da sua instância do Google SecOps SIEM.
Verify SSLObrigatório.
Se esta opção estiver selecionada, o Google SecOps verifica se o certificado SSL para estabelecer ligação ao servidor SIEM do Google SecOps é válido. Recomendamos que selecione esta opção.
Selecionado por predefinição.
Para concluir a configuração, clique em Guardar.
Se o botão Guardar estiver inativo, certifique-se de que definiu todos os parâmetros obrigatórios.
Opcional: para executar a tarefa imediatamente após guardar, clique em Executar agora.
A opção Executar agora permite-lhe acionar uma única execução de tarefa que sincroniza os dados atuais de alertas e registos do Google SecOps SOAR com o Google SecOps SIEM.
Mensagens de registo e processamento de erros
| Registo | Nível | Descrição |
|---|---|---|
|
ERRO | A conta de serviço fornecida no parâmetro da conta de serviço do utilizador está danificada. |
|
ERRO | A versão atual da instância da plataforma Google SecOps não suporta a execução do script do trabalho do criador de alertas do Google Chronicle. Este erro significa que a versão de compilação da instância é anterior à 6.2.30. |
|
ERRO | Não é possível validar a conta de serviço ou os valores raiz da API na instância do SIEM do Google SecOps. Este erro é comunicado se o teste de conetividade falhar. |
|
INFO | Mensagem de registo a indicar que a tarefa foi iniciada. |
|
INFO | Mensagem de registo que indica que a função principal foi iniciada. |
|
INFO | Log message indicating the iteration number for the current consecutive attempt. |
|
INFO | Mensagem de registo que indica que o código não obtém mais de BATCH_SIZE novos alertas do SOAR. |
|
INFO | Mensagem de registo que indica que foram obtidos alertas de NUMBER_OF_NEW_ALERTS SOAR. |
|
INFO | Mensagem de registo que indica que não foram encontrados novos alertas SOAR e que a tarefa está a ser interrompida. |
|
INFO | Mensagem de registo que indica que a tarefa obteve os alertas SOAR com os seguintes identificadores na lista de IDs. Pode usar estas informações para acompanhar o progresso da tarefa e resolver problemas com o código. |
|
INFO | Mensagem de registo que indica que a tarefa está a enviar alertas SOAR para o SIEM. |
|
ERRO | Mensagem de registo que indica que o alerta não foi criado com êxito no SIEM devido a um erro. |
|
INFO | Mensagem de registo que indica que a tarefa está a atualizar o SOAR com a resposta do SIEM. |
|
AVISO | Indica que o SOAR não conseguiu atualizar o estado da sincronização de alertas. |
|
INFO | Mensagem de registo que indica que foram sincronizados um total de total_synced alertas na execução atual. |
|
INFO | Mensagem de registo que indica que a tarefa foi concluída. |
|
ERRO | Mensagem de registo que indica que ocorreu uma exceção na função principal. A mensagem de exceção está incluída na mensagem de registo. |
Exemplos de utilização
A integração do Google Chronicle permite-lhe executar os seguintes exemplos de utilização:
- Investigação e resposta a ameaças do Windows no Chronicle
- Security Command Center e Chronicle Cloud DIR
Instale o exemplo de utilização
No Google SecOps Marketplace, aceda ao separador Exemplos de utilização.
Num campo de pesquisa, introduza o nome do exemplo de utilização.
Clique no exemplo de utilização.
Siga os passos de configuração e as instruções no assistente de instalação.
Quando terminar, todos os componentes necessários são instalados na sua máquina do Google SecOps. Para finalizar a instalação, configure o bloco de inicialização no manual de procedimentos que corresponde ao seu exemplo de utilização.
Chronicle Windows Threats Investigation & Response
Use o poder do Google SecOps para responder em tempo real a ameaças do Windows no seu ambiente. Ao usar o Threat Intelligence para o Google SecOps, as equipas de segurança podem tirar partido de um serviço de informações sobre ameaças de alta fidelidade juntamente com o Google SecOps. As ameaças reais no seu ambiente podem agora ser triadas e corrigidas automaticamente num período curto e eficaz.
No Google SecOps, aceda a Resposta > Manuais de procedimentos.
Selecione o manual de procedimentos Google Chronicle - Windows Threats Investigation & Response. O manual de estratégias é aberto na vista de criação do manual de estratégias.
Clique duas vezes em Set Initialization Block_1. É aberta a caixa de diálogo de configuração do bloqueio.
Para configurar o manual de estratégias, use os seguintes parâmetros:
Parâmetro de entrada Valores possíveis Descrição edr_product- CrowdStrike
- Carbon Black
- Nenhum
O produto EDR a usar no manual de estratégias. itsm_product- Service Now
- Jira
- ZenDesk
- Nenhum
O produto ITSM a usar no manual de procedimentos. O Jira requer uma configuração adicional no bloco Abrir pedido. crowdstrike_use_spotlightTrueouFalseSe True, o manual de procedimentos executa ações do Crowdstrike que requerem uma licença do Spotlight (informações de vulnerabilidade).use_mandiantTrueouFalseSe True, o guia interativo executa o bloqueio da Mandiant.slack_userNome de utilizador ou endereço de email O nome de utilizador ou o endereço de email do utilizador do Slack. Se não for fornecido nenhum, o playbook ignora os blocos do Slack. Clique em Guardar. A caixa de diálogo de configuração do bloqueio é fechada.
No painel do criador de manuais de vendas, clique em Guardar.
Para testar o manual de soluções no exemplo de utilização, carregue o exemplo de teste incluído no pacote. Algumas capacidades de casos de teste podem falhar porque os dados usados para testes estão indisponíveis no seu ambiente.
Security Command Center e Chronicle Cloud DIR
Integre o Security Command Center com o SIEM do Google SecOps para permitir que os seus analistas investiguem incidentes e ameaças que o Security Command Center deteta.
Configure o exemplo de utilização
O caso de utilização requer que configure as seguintes integrações:
- Siemplify
- Ferramentas
- Mitre ATT&CK
- Google Cloud IAM
- Google Chronicle
- Funções
- Google Cloud Compute
- Email V2
- VirusTotal v3
As integrações do Google Security Command Center e do Mandiant são opcionais.
Certifique-se de que instalou o exemplo de utilização antes de o configurar.
- No Google SecOps, aceda ao separador Playbooks.
- Selecione o manual SCC e DIR do Chronicle Cloud.
- Clique duas vezes no bloco de inicialização para o configurar.
- Configure o manual de soluções através dos seguintes parâmetros:
| Nome do parâmetro | Valores possíveis | Descrição |
|---|---|---|
Mandiant_Enrichment |
True ou False |
Se A integração do Mandiant tem de ser configurada para esta configuração. Pode remover o enriquecimento se raramente receber informações significativas. A remoção do bloco de enriquecimento melhora a velocidade de execução do manual de procedimentos. |
SCC_Enrichment |
True ou False |
Se A integração do Security Command Center tem de estar configurada para esta configuração. Pode remover o enriquecimento se raramente receber informações significativas. A remoção do bloco de enriquecimento melhora a velocidade de execução do manual de estratégias. |
IAM_Enrichment |
True ou False |
Se True, o manual usa as capacidades de IAM para enriquecimento adicional. Pode remover o enriquecimento se raramente
receber informações significativas. A remoção do bloco de enriquecimento melhora a velocidade de execução do manual de estratégias. |
Compute_Enrichment |
True ou False |
Se True, o manual de soluções usa capacidades do Compute Engine
para enriquecimento adicional. Pode remover o enriquecimento se
raramente receber informações significativas. A remoção do bloco de enriquecimento melhora a velocidade de execução do manual de estratégias. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.