Integre o Google Chronicle com o Google SecOps
Este documento explica como integrar o Google Chronicle com o Google Security Operations (Google SecOps).
Versão da integração: 64.0
Exemplos de utilização
A integração do Google Chronicle pode resolver os seguintes exemplos de utilização:
Investigação e remediação de phishing automatizadas: use as capacidades do SOAR do Google SecOps para consultar automaticamente dados de email históricos, registos de atividades dos utilizadores e inteligência de ameaças para avaliar a legitimidade do email. A remediação automática pode ajudar na triagem e contenção, impedindo a propagação de software malicioso ou violações de dados.
Enriquecimento de alertas de segurança: use as capacidades do SOAR do Google SecOps para enriquecer um alerta gerado num SIEM com contexto histórico, como o comportamento anterior do utilizador e informações de recursos. Isto oferece aos analistas uma vista abrangente de um incidente, permitindo uma tomada de decisões mais rápida e informada.
Procura de ameaças com base nas estatísticas do Google SecOps: use as capacidades do Google SecOps SOAR para automatizar o processo de consulta de outras ferramentas de segurança para indicadores de comprometimento (IOCs) relacionados. Isto pode ajudar a identificar proativamente potenciais violações antes que se agravem.
Manuais de resposta a incidentes automatizados: use as capacidades do SOAR do Google SecOps para acionar manuais predefinidos que usam dados do Google SecOps para isolar sistemas comprometidos, bloquear endereços IP maliciosos e notificar as partes interessadas relevantes. Isto pode reduzir o tempo de resposta a incidentes e minimizar o impacto dos incidentes de segurança.
Relatórios e auditorias de conformidade: use as capacidades de SOAR do Google SecOps para automatizar a recolha de dados de segurança do Google SecOps para relatórios de conformidade, simplificando o processo de auditoria e reduzindo o esforço manual.
Antes de começar
Antes de configurar a integração do Google Chronicle no Google SecOps, certifique-se de que tem acesso a umGoogle Cloud projeto ativo.
Migração da API Backstory para a API Chronicle
Algumas novas funcionalidades e ações nesta integração só suportam a API Chronicle. Por isso, recomendamos vivamente que todos os utilizadores migrem a respetiva implementação para usar as credenciais da API Chronicle.
Encontrar a raiz da API Chronicle
Ao aceder à API Chronicle, tem de localizar o API Root exclusivo do seu ambiente para a configuração da integração.
Abra as Ferramentas para programadores do navegador e navegue para a plataforma Google SecOps.
Selecione Investigação > Tabelas de dados.
Nas Ferramentas para programadores, navegue para o separador Rede e clique num item na coluna Nome, como
dataTables?pageSize=1000.No painel de detalhes, selecione Cabeçalhos e copie o valor de
Request URL, encontrado em Geral, excluindo o ponto final e quaisquer parâmetros de consulta (o nome do item selecionado).Por exemplo, se o valor for
https://us-chronicle.googleapis.com/v1alpha/projects/{project}/locations/{location}/instances/{instance}/dataTables?pageSize=1000, a raiz da API exclui/dataTables?pageSize=1000e éhttps://us-chronicle.googleapis.com/v1alpha/projects/{project}/locations/{location}/instances/{instance}.
Requisitos de credenciais para a API Chronicle
O acesso à API Chronicle requer uma nova raiz da API e novas credenciais, que dependem da forma como o seu Google Cloud projeto subjacente é gerido:
| Tipo de projeto | Requisito de credenciais |
|---|---|
| Implementação do SecOps unificado: projeto gerido pela Google (predefinição) | Contacte o apoio técnico da Google para aprovisionar as credenciais ocultas necessárias e conceder autorizações ao seu ambiente. |
| Implementação autónoma de SOAR: traga o seu próprio projeto (BYOP) | Tem de configurar manualmente uma conta de serviço dedicada no seu projeto
usando uma
chave JSON ou uma
identidade de carga de trabalho e
atribuir a função Chronicle API Editor. |
Autenticação com uma chave JSON de conta de serviço
A autenticação através de uma chave JSON da conta de serviço é suportada para a API Chronicle e é obrigatória para os utilizadores de BYOP que não escolhem a identidade da carga de trabalho.
Crie uma conta de serviço dedicada e crie a sua chave JSON
Para a autenticação com uma chave JSON de conta de serviço, conclua os seguintes passos para criar a sua chave JSON:
Na Google Cloud consola, aceda a IAM e administrador > Contas de serviço.
Selecione Criar conta de serviço e siga as instruções.
Selecione o endereço de email da nova conta de serviço e aceda a Chaves > Adicionar chave > Criar nova chave.
Selecione
JSONcomo o tipo de chave e clique em Criar. É transferido um ficheiro de chave JSON para o seu computador.
API Chronicle: função necessária para a sua conta de serviço
Quando usar a API Chronicle, a sua conta de serviço requer a função
Chronicle API Editor.
Na Google Cloud consola, aceda a APIs e serviços > Credenciais.
Em Contas de serviço, selecione a sua conta de serviço e clique em Autorizações > Gerir acesso.
Clique em AdicionarAdicionar função e selecione a função
Chronicle API Editor. Clique em Guardar.
Autenticação com uma Workload Identity (recomendada)
A autenticação através de uma identidade de carga de trabalho é o método recomendado e mais seguro.
Para configurar a autenticação com uma identidade de carga de trabalho, siga estes passos:
Criar uma conta de serviço
Para criar uma conta de serviço, conclua os passos seguintes:
Na Google Cloud consola, aceda à página Credenciais.
No menu Criar credenciais, selecione Conta de serviço.
Em Detalhes da conta de serviço, introduza um nome no campo Nome da conta de serviço.
Opcional: edite o ID da conta de serviço.
Clique em Criar e continuar. É apresentado um ecrã Autorizações.
Clique em Continuar. É apresentado um ecrã Principais com acesso.
Clique em Concluído.
API Chronicle: função necessária para a sua conta de serviço
Quando usar a API Chronicle, a sua conta de serviço requer a função
Chronicle API Editor.
Na Google Cloud consola, aceda a APIs e serviços > Credenciais.
Em Contas de serviço, selecione a sua conta de serviço e clique em Autorizações > Gerir acesso.
Clique em AdicionarAdicionar função e selecione a função
Chronicle API Editor. Clique em Guardar.
Conceda autorizações de roubo de identidade à sua instância do Google SecOps
Para usar a identidade de carga de trabalho, tem de conceder à sua instância do Google SecOps autorização para se fazer passar pela sua conta de serviço. Este é o passo final que permite à instância aceder em segurança aos recursos do Google Cloud .
No Google SecOps, aceda a Marketplace > Integrações de respostas.
Selecione a integração que está a configurar e introduza o email da sua conta de serviço no campo
Workload Identity Email.Introduza o email que quer que a integração represente no campo
Delegated Email.Clique em Guardar > Testar. Espera-se que o teste falhe.
Clique em close_small à direita de Testar e pesquise a mensagem de erro para
gke-init-python@YOUR_PROJECT. Copie este email exclusivo, que identifica a sua instância do Google SecOps.Aceda a Contas de serviço, selecione o seu projeto e selecione a sua conta de serviço.
Selecione Entidades com acesso > adicionarConceder acesso.
Em Adicionar responsáveis, cole o valor que copiou.
Em Adicionar funções, selecione a função
Service Account Token Creator(roles/iam.serviceAccountTokenCreator).
Resolva problemas de conetividade à API Chronicle
Se tiver problemas ao associar a sua integração à API Chronicle, siga estes passos para resolver problemas de configuração e credenciais:
- Encontre a raiz da API Chronicle e certifique-se de que foi introduzida corretamente na configuração da integração.
- Certifique-se de que todos os outros parâmetros de configuração obrigatórios estão preenchidos com precisão.
Teste a ligação. Se o teste for bem-sucedido, não são necessários mais passos. Se o teste falhar, avance para o passo seguinte.
Valide Google Cloud a propriedade do projeto e as credenciais:
- Projeto gerido pela Google: se o seu Google Cloud projeto for gerido pela Google (implementação predefinida), contacte o Apoio técnico da Google para receber assistência com problemas de credenciais.
- Use o seu próprio projeto (BYOP): se o seu Google Cloud projeto for autogerido (BYOP), verifique se configurou manualmente uma conta de serviço e lhe atribuiu as funções adequadas.
Parâmetros de integração
A integração do Google Chronicle requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
UI Root |
Obrigatório. O URL de base da interface do SIEM do Google SecOps. Isto é usado para gerar automaticamente links diretos para a plataforma SIEM a partir dos registos de casos. O valor predefinido é
|
API Root |
Obrigatório. A raiz da API para a sua instância do SIEM do Google SecOps. O valor depende do seu método de autenticação:
|
User's Service Account |
Opcional. O conteúdo completo do ficheiro de chave JSON da conta de serviço. Se este e os parâmetros Para usar a API Chronicle, tem de fornecer este campo
ou |
Workload Identity Email |
Opcional. O endereço de email do cliente da sua Workload Identity Federation. Este parâmetro tem prioridade sobre o ficheiro de chave Para usar a Federação de identidades de cargas de trabalho, tem de conceder a função
|
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL quando se liga ao servidor SIEM do Google SecOps. Ativada por predefinição. |
Para ver instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Realize uma ação manual.
Adicionar entrada à lista de visualização
Use a ação Adicionar entrada à lista de visualização para adicionar uma entidade especificada a uma lista de visualização do Risk Analytics existente no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Add Entry To Watchlist requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Watchlist Name |
Obrigatório. O nome da lista de observação do Risk Analytics à qual adicionar a entrada. |
Entry |
Obrigatório. O objeto JSON que representa a entidade a adicionar à lista de visualização. A estrutura JSON requer o valor da entidade, o tipo de entidade e um espaço de nomes opcional. O valor predefinido é:
[
{
"entity": "",
"type": "ASSET_IP_ADDRESS/MAC/HOSTNAME/PRODUCT_SPECIFIC_ID/USERNAME/EMAIL/EMPLOYEE_ID/WINDOWS_SID/PRODUCT_OBJECT_ID",
"namespace": "Optional"
}
]
|
Resultados da ação
A ação Adicionar entrada à lista de visualização fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra a saída do resultado JSON recebida quando usa a ação Adicionar entrada à lista de visualização:
[
{
"namespace": "Yuriy",
"asset": {
"hostname": "koko"
}
},
{
"namespace": "Yuriy",
"asset": {
"hostname": "koko"
}
}
]
Mensagens de saída
A ação Add Entry To Watchlist pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Add Entry To Watchlist". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Add Entry To Watchlist:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Adicione linhas à tabela de dados
Use a ação Adicionar linhas à tabela de dados para adicionar linhas a uma tabela de dados no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
Para configurar a ação, use os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Data Table Name |
Obrigatório. O nome a apresentar da tabela de dados a atualizar. |
Rows |
Obrigatório. Uma lista de objetos JSON com informações sobre as linhas a adicionar. Por exemplo:
{
"columnName1": "value1",
"columnName2": "value2"
}
|
Resultados da ação
A ação Adicionar linhas à tabela de dados fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Estatísticas da entidade | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra um resultado JSON de exemplo devolvido pela ação Adicionar linhas à tabela de dados:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
}
}
Mensagens de saída
A ação Adicionar linhas à tabela de dados fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully added rows to the data table
DATA_TABLE_NAME in
Google SecOps. |
A ação foi bem-sucedida. |
Error executing action "Add Rows to Data Table". Reason:
ERROR_REASON |
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Adicionar linhas à tabela de dados:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Adicione valores à lista de referências
Use a ação Adicionar valores à lista de referência para adicionar valores a uma lista de referência no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
Para configurar a ação, use os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Reference List Name |
Obrigatório. O nome da lista de referência a atualizar. |
Values |
Obrigatório. Uma lista de valores separados por vírgulas a adicionar à lista de referência. |
Resultados da ação
A ação Adicionar valor à lista de referências fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Estatísticas da entidade | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Adicionar valor à lista de referências com a API Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Adicionar valor à lista de referência com a API Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_NAME",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Mensagens de saída
A ação Adicionar valores à lista de referência fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully added values to the reference list
REFERENCE_LIST_NAME. |
A ação foi bem-sucedida. |
Error executing action "Add Values To Reference List". Reason:
ERROR_REASON |
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Adicionar valores à lista de referência:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Pedir ao Gemini
Use a ação Pedir ao Gemini para enviar um comando de texto ao Gemini no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
Para configurar a ação, use os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Automatic Opt-in |
Opcional. Se selecionada, a estratégia permite automaticamente que o utilizador participe na conversa do Gemini sem precisar de uma confirmação manual. Ativada por predefinição. |
Prompt |
Obrigatório. O comando de texto ou a pergunta inicial a enviar ao Gemini. |
Resultados da ação
A ação Pedir ao Gemini fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Estatísticas da entidade | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Pedir ao Gemini:
{
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/users/me/conversations/db3b0fc2-94f8-42ae-b743-c3693f593269/messages/b58e3186-e697-4400-9da8-8ef252a20bd9",
"input": {
"body": "Is IP 159.138.84.217 malicious? What can you tell me about it?"
},
"responses": [
{
"blocks": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<p>The IP address 159.138.84.217 is associated with malware and threat actors.</p>\n<ul>\n<li>It is an IPv4 indicator.</li>\n<li>It is associated with BEACON malware.</li>\n<li>It is categorized as malware-Backdoor.</li>\n<li>It has a low confidence, high severity threat rating.</li>\n<li>VirusTotal's IP Address Report indicates the network for this IP is 159.138.80.0/20, and the IP is associated with HUAWEI CLOUDS in Singapore.</li>\n<li>VirusTotal's last analysis on April 22, 2025, showed 8 malicious detections out of 94 sources.</li>\n</ul>\n<p>I might have more details for a question with more context (e.g., what is the source of the IP, what type of network traffic is associated with the IP).</p>\n"
}
}
],
"references": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<ol>\n<li><a href=\"https://advantage.mandiant.com/indicator/ipv4/159.138.84.217\" target=\"_blank\">Mandiant - indicator - 159.138.84.217</a></li>\n</ol>\n"
}
}
],
"groundings": [
"IP address 159.138.84.217 malicious cybersecurity",
"IP address 159.138.84.217 threat intelligence"
]
}
],
"createTime": "2025-05-16T11:31:36.660538Z"
}
}
Mensagens de saída
A ação Pedir ao Gemini fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully executed a prompt in Google SecOps. |
A ação foi bem-sucedida. |
Error executing action "GoogleChronicle - Ask Gemini".
Reason: ERROR_REASON |
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Pedir ao Gemini:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enriquecer domínio – Descontinuado
Use a ação Enriquecer domínio para enriquecer domínios com informações de IoCs no Google SecOps SIEM.
Esta ação é executada nas seguintes entidades do Google SecOps:
URLHostname
Dados de ações
A ação Enrich Domain requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Create Insight |
Se estiver selecionada, a ação cria uma estatística com informações sobre as entidades. Ativada por predefinição. |
Only Suspicious Insight |
Se selecionada, a ação só cria uma estatística para entidades que estão
marcadas como suspeitas. Não está ativada por predefinição. Se selecionar este parâmetro, também tem de selecionar
|
Lowest Suspicious Severity |
Obrigatório. A gravidade mais baixa associada ao domínio necessária para o sinalizar como suspeito. O valor predefinido é
|
Mark Suspicious N/A Severity |
Obrigatório. Se esta opção estiver selecionada e as informações sobre a gravidade estiverem indisponíveis, a ação marca a entidade como suspeita. |
Resultados da ação
A ação Enriquecer domínio fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Disponível |
| Tabela de enriquecimento | Disponível |
| Estatísticas da entidade | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela de parede para capas
A ação Enriquecer domínio fornece a seguinte tabela:
Nome: ENTITY_IDENTIFIER
Colunas:
- Fonte
- Gravidade
- Categoria
- Confiança
Enriquecimento de entidades
A ação Enriquecer domínio suporta a seguinte lógica de enriquecimento de entidades:
| Campo de enriquecimento | Lógica (quando aplicar) |
|---|---|
severity |
Quando estiver disponível em JSON |
average_confidence |
Quando estiver disponível em JSON |
related_domains |
Quando estiver disponível em JSON |
categories |
Quando estiver disponível em JSON |
sources |
Quando estiver disponível em JSON |
first_seen |
Quando estiver disponível em JSON |
last_seen |
Quando estiver disponível em JSON |
report_link |
Quando estiver disponível em JSON |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Enrich Domain com a API Backstory:
{
{
"sources": [
{
"source": "ET Intelligence Rep List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Enrich Domain com a API Chronicle:
[
{
"Entity": "example.com",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
},
{
"category": "Phishing",
"firstActiveTime": null,
"lastActiveTime": "2020-11-27T14:31:37Z",
"addresses": [
{
"domain": "example.com"
},
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "high",
"confidenceScore": {
"strRawConfidenceScore": "high"
}
},
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
},
{
"metadata": {
"title": "ESET Threat Intelligence",
"description": "ESET Threat Intelligence"
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Phishing",
"activeTimerange": {
"end": "2020-11-27T14:31:37Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "High",
"rawSeverity": "High"
}
]
},
{
"metadata": {
"title": "Mandiant Active Breach Intelligence",
"description": "Mandiant Active Breach IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
}
]
}
}
]
Mensagens de saída
A ação Enrich Domain fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully enriched the following domain in Google Chronicle:
LIST_OF_IDS |
A ação foi bem-sucedida. |
Error executing action "Enrich Domain". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Enrich Domain:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enriquecer entidades
Use a ação Enrich Entities para consultar o Google SecOps para obter contexto e atributos adicionais para tipos de entidades especificados. Esta ação melhora os dados de investigação de ameaças através da integração de informações externas.
Esta ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressURL(extrai o domínio do URL)UserEmail(entidade do utilizador com regex de email)
Dados de ações
A ação Enrich Entities requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Namespace |
Opcional. O agrupamento lógico ou o âmbito das entidades a enriquecer. Se não for selecionado, o enriquecimento aplica-se a entidades no namespace predefinido ou a todos os namespaces acessíveis. As entidades têm de pertencer a este espaço de nomes para serem processadas. |
Time Frame |
Opcional. Um período relativo (por exemplo, Este parâmetro tem precedência sobre |
Start Time |
Opcional. A hora de início do período de enriquecimento no formato ISO 8601. Use esta opção com |
End Time |
Opcional. A hora de fim absoluta do período de enriquecimento no formato ISO 8601. Usado com |
Resultados da ação
A ação Enrich Entities fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
| Campo de enriquecimento | Origem (chave JSON) | Aplicabilidade |
|---|---|---|
GoogleSecOps_related_entities |
O número de related_entities | Quando estiver disponível no resultado JSON. |
GoogleSecOps_alert_count_ruleName |
{alertCounts.count} para cada regra específica | Quando estiver disponível no resultado JSON. |
GoogleSecOps_first_seen |
metric.firstSeen |
Quando estiver disponível no resultado JSON. |
GoogleSecOps_last_seen |
metric.lastSeen |
Quando estiver disponível no resultado JSON. |
GoogleSecOps_flattened_key_under_entity |
O valor da chave, reduzido a um nível a partir da estrutura aninhada no objeto "entity". |
Quando estiver disponível no resultado JSON. |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Enrich Entities:
[
{
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"domain": {
"name": "markossolomon.com",
"firstSeenTime": "1970-01-01T00:00:00Z",
"lastSeenTime": "1970-01-01T00:00:00Z",
"registrar": "NameCheap, Inc.",
"creationTime": "2013-12-06T02:41:09Z",
"updateTime": "2019-11-06T11:48:33Z",
"expirationTime": "2020-12-06T02:41:09Z",
"registrant": {
"userDisplayName": "WhoisGuard Protected",
"emailAddresses": [
"58d09cb5035042e9920408f8bafd0869.protect@whoisguard.com"
],
"personalAddress": { "countryOrRegion": "PANAMA" },
"companyName": "WhoisGuard, Inc."
}
}
}
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "npatni-sysops",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "npatni-sysops" }
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "329" },
{ "rule": "rule_testbucket", "count": "339" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "332" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 1000 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "exlab2019-ad",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "exlab2019-ad" }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.30.202.229",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "ip": ["172.30.202.229"] }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.17.0.1",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": { "namespace": "Yuriy", "asset": { "ip": ["172.17.0.1"] } },
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
}
},
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "911d039e71583a07320b32bde22f8e22",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"file": {
"sha256": "bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527",
"md5": "911d039e71583a07320b32bde22f8e22",
"sha1": "ded8fd7f36417f66eb6ada10e0c0d7c0022986e9",
"size": "278528",
"fileType": "FILE_TYPE_PE_EXE",
"names": [
"C:\\Windows\\System32\\cmd.exe",
"cmd",
"Cmd.Exe",
"C:\\Windows\\system32\\cmd.exe",
"C:\\Windows\\SYSTEM32\\cmd.exe",
"cmd.exe",
"C:\\\\Windows\\\\System32\\\\cmd.exe",
"C:\\windows\\SYSTEM32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\wjxpour4.d0f\\cmd.exe",
"c:\\Windows\\System32\\cmd.exe",
"Utilman.exe",
"c:\\windows\\system32\\cmd.exe",
"System32/cmd.exe",
"UtilityVM/Files/Windows/System32/cmd.exe",
"KerishDoctor/Data/KerishDoctor/Restore/cmd.rst",
"cmd.exe_",
"C:\\WINDOWS\\SYSTEM32\\cmd.exe",
"Cmd.exe",
"Windows/System32/cmd.exe",
"sethc.exe",
"C:\\WINDOWS\\System32\\cmd.exe",
"esRzqurX.exe",
"rofl.png",
"F:\\Windows\\SYSTEM32\\cmd.exe",
"utilman.exe",
"C:\\Windows\\system32\\CMD.exe",
"sys32exe/cmd.exe",
"cmd.txt",
"C:\\WINDOWS\\system32\\cmd.exe",
"cmd2.exe",
"Utilman.exe.sc",
"uhrHRIv8.exe",
"C:\\windows\\system32\\cmd.exe",
"submitted_file",
"C:\\Users\\user\\AppData\\Local\\Temp\\n1qo0bq3.2tn\\KerishDoctor\\Data\\KerishDoctor\\Restore\\cmd.rst",
"J6ff7z0hLYo.exe",
"N:\\Windows\\System32\\cmd.exe",
"Q:\\Windows\\System32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\cmd.exe",
"C:\\Users\\<USER>\\AppData\\Local\\Temp\\cmd.exe",
"test.exe",
"68E2F01F8DE9EFCAE9C0DD893DF0E8C34E2B5C98A6C4073C9C9E8093743D318600.blob",
"8FCVE0Kq.exe",
"cmd (7).exe",
"cmd (8).exe",
"21455_16499564_bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527_cmd.exe",
"LinX v0.9.11 (Intel)/cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\inbvmkaa.1xd\\LinX v0.9.11 (Intel)\\cmd.exe",
"cmd_b.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\sfd5bhoe.nqi\\cmd.exe",
"cMd.exe",
"Repl_Check.bat__",
"cmd.pdf",
"cmd.EXE",
"C:\\Users\\user\\AppData\\Local\\Temp\\uszjr42t.kda\\cmd.exe",
"LFepc1St.exe",
"firefox.exe",
"3BcnNlWV.exe",
"Utilman.exebak",
"utilman1.exe",
"1.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\ispvscgp.ep2\\sys32exe\\cmd.exe",
"cmd_1771019736291028992.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\xijgwqvd.54g\\cmd.exe",
"Sethc.exe",
"\\Device\\CdRom1\\DANFE352023067616112\\DANFE352023067616112.EXE",
"DANFE352023067616112.exe",
"file.exe",
"DANFE352023067616112/DANFE352023067616112.exe",
"C:\\Windows\\SYSTEM32\\Cmd.exe",
"pippo.exe",
"C:\\Windows\\System32\\sethc.exe",
"cmd.exe-bws024-windowsfolder",
"whatever.exe",
"sethc.exe.bak",
"S71dbOR1.exe",
"F:\\windows\\SYSTEM32\\cmd.exe",
"L6puhWL7.exe",
"DANFE357986551413927.exe",
"DANFE357666506667634.exe",
"\\Device\\CdRom1\\DANFE357666506667634\\DANFE357666506667634.EXE",
"\\Device\\CdRom1\\DANFE357986551413927\\DANFE357986551413927.EXE",
"\\Device\\CdRom1\\DANFE358567378531506\\DANFE358567378531506.EXE",
"\\Device\\CdRom1\\HtmlFactura3f48daa069f0e42253194ca7b51e7481DPCYKJ4Ojk\\HTMLFACTURA3F48DAA069F0E42253194CA7B51E7481DPCYKJ4OJK.EXE",
"\\Device\\CdRom1\\DANFE357410790837014\\DANFE357410790837014.EXE",
"\\Device\\CdRom1\\DANFE357702036539112\\DANFE357702036539112.EXE",
"winlogon.exe",
"AccessibilityEscalation.A' in file 'utilman.exe'",
"qpl9AqT0.exe",
"C:\\windows\\system32\\CMD.exe",
"C:\\po8az\\2po9hmc\\4v1b5.exe",
"batya.exe",
"nqAwJaba.exe",
"\\Device\\CdRom1\\DANFE356907191810758\\DANFE356907191810758.EXE",
"/Volumes/10_11_2023/DANFE356907191810758/DANFE356907191810758.exe",
"/Volumes/09_21_2023/DANFE357986551413927/DANFE357986551413927.exe",
"\\Device\\CdRom1\\DANFE355460800350113\\DANFE355460800350113.EXE",
"/Volumes/09_19_2023/DANFE355460800350113/DANFE355460800350113.exe",
"DANFE352429512050669.exe",
"/Volumes/04_15_2023/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3.exe"
],
"firstSeenTime": "2024-12-15T09:07:02Z",
"lastSeenTime": "2025-07-18T07:43:59.045Z",
"lastAnalysisTime": "2025-07-16T10:06:40Z",
"signatureInfo": {
"sigcheck": {
"verificationMessage": "Signed",
"verified": true,
"signers": [{ "name": "Microsoft Windows" }]
}
},
"firstSubmissionTime": "2025-07-15T16:30:27Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "329" },
{ "rule": "rule_testbucket", "count": "345" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "326" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{ "alertCount": 31 },
{ "alertCount": 111 },
{ "alertCount": 109 },
{ "alertCount": 82 },
{ "alertCount": 86 },
{ "alertCount": 98 },
{ "alertCount": 86 },
{ "alertCount": 85 },
{ "alertCount": 92 },
{ "alertCount": 89 },
{ "alertCount": 90 },
{ "alertCount": 41 }
],
"bucketSize": "172800s"
},
"prevalenceResult": [
{ "prevalenceTime": "2025-01-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-16T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-17T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-18T00:00:00Z", "count": 2 }
],
"relatedEntities": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiFQoGCPbso7wGEgsIv_bnwwYQwMq6FQ",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"hostname": "exlab2019-ad",
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIVCgYI9uyjvAYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"ip": ["172.30.202.229"],
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
}
]
}
},
{
"Entity": "tencent.com",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"domain": {
"name": "tencent.com",
"firstSeenTime": "2025-01-14T14:01:00Z",
"lastSeenTime": "2025-01-14T15:02:00Z",
"registrar": "MarkMonitor Information Technology (Shanghai) Co., Ltd.",
"creationTime": "1998-09-14T04:00:00Z",
"updateTime": "2024-08-20T08:04:01Z",
"expirationTime": "2032-09-13T04:00:00Z",
"registrant": {
"emailAddresses": [""],
"personalAddress": { "countryOrRegion": "CHINA" },
"companyName": "\u6df1\u5733\u5e02\u817e\u8baf\u8ba1\u7b97\u673a\u7cfb\u7edf\u6709\u9650\u516c\u53f8"
}
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "00:50:56:b6:34:86",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "mac": ["00:50:56:b6:34:86"] }
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
}
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
}
]
Mensagens de saída
A ação Enrich Entities pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Enrich Entities:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enrich IP (descontinuado)
Use a ação Enrich IP para enriquecer entidades de IP com informações de IoCs no SIEM do Google SecOps.
Esta ação é executada na entidade "Endereço IP".
Dados de ações
A ação Enrich IP requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Create Insight |
Opcional. Se selecionada, a ação cria uma estatística que contém informações sobre entidades.Ativada por predefinição. |
Only Suspicious Insight |
Opcional. Se selecionada, a ação cria estatísticas apenas para entidades marcadas como suspeitas.Não está ativada por predefinição. Se selecionar este parâmetro, também tem de selecionar |
Lowest Suspicious Severity |
Obrigatório. A gravidade mais baixa associada ao endereço IP para o marcar como suspeito. O valor predefinido é
|
Mark Suspicious N/A Severity |
Obrigatório. Se esta opção estiver selecionada e as informações sobre a gravidade estiverem indisponíveis, a ação marca a entidade como suspeita. |
Resultados da ação
A ação Enriquecer IP fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Disponível |
| Tabela de enriquecimento | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela de parede para capas
Nome: ENTITY_IDENTIFIER
Colunas:
- Fonte
- Gravidade
- Categoria
- Confiança
- Domínios relacionados
Enriquecimento de entidades
A ação Enriquecer IP suporta a seguinte lógica de enriquecimento de entidades:
| Campo de enriquecimento | Lógica (quando aplicar) |
|---|---|
severity |
Quando estiver disponível em JSON |
average_confidence |
Quando estiver disponível em JSON |
related_domains |
Quando estiver disponível em JSON |
categories |
Quando estiver disponível em JSON |
sources |
Quando estiver disponível em JSON |
first_seen |
Quando estiver disponível em JSON |
last_seen |
Quando estiver disponível em JSON |
report_link |
Quando estiver disponível em JSON |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Enrich IP com a API Backstory:
{
{
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Enrich IP com a API Chronicle:
[
{
"Entity": "192.0.2.121",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "low",
"confidenceScore": {
"strRawConfidenceScore": "67"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "67",
"rawSeverity": "Low"
}
]
}
]
}
}
]
Mensagens de saída
A ação Enrich IP fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully enriched the following IPs from Google Chronicle:
LIST_OF_IPS |
A ação foi bem-sucedida. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Enrich IP:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Execute Retrohunt
Use a ação Execute Retrohunt para executar uma retrocaça de regras no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Execute Retrohunt requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Rule ID |
Obrigatório. O ID da regra para a qual executar uma retrocaça. Use o formato |
Time Frame |
Opcional. Um período para obter os resultados. Os valores possíveis são os seguintes:
Se O valor predefinido é |
Start Time |
A hora de início dos resultados no formato ISO 8601. Este parâmetro é obrigatório se o parâmetro |
End Time |
A hora de fim dos resultados no formato ISO 8601.
Se não definir um valor e selecionar o valor |
Resultados da ação
A ação Execute Retrohunt fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Estatísticas da entidade | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Execute Retrohunt com a API Backstory:
{
"retrohuntId": "oh_d738c8ea-8fd7-4cc1-b43d-25835b8e1785",
"ruleId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497",
"versionId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497@v_1612472807_179679000",
"eventStartTime": "2021-01-14T23:00:00Z",
"eventEndTime": "2021-01-30T23:00:00Z",
"retrohuntStartTime": "2021-02-08T02:40:59.192113Z",
"state": "RUNNING"
}
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Execute Retrohunt com a API Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/RetrohuntMetadata",
"retrohunt": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID/retrohunts/RETROHUNT_ID",
"executionInterval": {
"startTime": "2025-01-22T12:16:20.963182Z",
"endTime": "2025-01-23T12:16:20.963182Z"
}
},
"retrohuntId": "RETROHUNT_ID",
"ruleId": "RULE_ID",
"versionId": "VERSION_ID",
"eventStartTime": "2025-01-22T12:16:20.963182Z",
"eventEndTime": "2025-01-23T12:16:20.963182Z"
}
Mensagens de saída
A ação Execute Retrohunt fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully executed a retrohunt for the provided rule in Google
Chronicle.
|
A ação foi bem-sucedida. |
Error executing action "Execute Retrohunt". Reason:
ERROR_REASON |
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Execute Retrohunt:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Executar consulta UDM
Use a ação Execute UDM Query para executar uma consulta UDM personalizada no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Execute UDM Query requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query String |
Obrigatório. A consulta a executar no Google SecOps. |
Time Frame |
Opcional. Um período para obter os resultados. Os valores possíveis são os seguintes:
Se O valor predefinido é |
Start Time |
Opcional. A hora de início dos resultados no formato ISO 8601 (por exemplo, Este parâmetro é obrigatório se o parâmetro O intervalo de tempo máximo é de 90 dias. |
End Time |
Opcional. A hora de fim dos resultados num formato ISO 8601 (por exemplo, Se não definir um valor e o parâmetro O intervalo de tempo máximo é de 90 dias. |
Max Results To Return |
Opcional. O número de resultados a devolver para uma única consulta. O valor máximo é O valor predefinido é |
Resultados da ação
A ação Execute UDM Query fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Execute UDM Query:
{
"events":[
"event":{
"metadata":{
"eventTimestamp":"2022-01-20T09:15:15.687Z",
"eventType":"USER_LOGIN",
"vendorName":"Example Vendor",
"productName":"Example Product",
"ingestedTimestamp":"2022-01-20T09:45:07.433587Z"
},
"principal":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.0"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
],
"location":{
"city":"San Francisco",
"state":"California",
"countryOrRegion":"US"
},
"asset":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.1",
"203.0.113.1",
"203.0.113.1"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
]
}
},
"target":{
"user":{
"userid":"Example",
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-4712406912-7108061610-2717800068-993683",
"emailAddresses":[
"example@example.com",
"admin.example@example.com"
],
"employeeId":"2406187",
"productObjectId":"f93f1540-4935-4266-aa8e-a750a319aa1c",
"firstName":"Example",
"lastName":"User",
"phoneNumbers":[
"555-01-75"
],
"title":"Executive Assistant",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
],
"managers":[
{
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-6051382818-4135626959-8120238335-834071",
"emailAddresses":[
"user@example.com"
],
"employeeId":"5478500",
"productObjectId":"8b3924d5-6157-43b3-857b-78aa6bd94705",
"firstName":"User",
"lastName":"Example",
"phoneNumbers":[
"555-01-75"
],
"title":"Chief Technology Officer",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
]
}
]
},
"ip":[
"198.51.100.1"
],
"email":"email@example.com",
"application":"Example Sign In"
},
"securityResult":[
{
"summary":"Successful Login",
"action":[
"ALLOW"
]
}
],
"extensions":{
"auth":{
"type":"SSO"
}
}
},
"eventLogToken":"96f23eb9ffaa9f7e7b0e2ff5a0d2e34c,1,1642670115687000,USER,|USER_LOGIN"
]
}
Mensagens de saída
A ação Execute UDM Query fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Execute UDM Query". Reason:
ERROR_REASON
|
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Execute UDM Query". Reason: you've reached a
rate limit. Please wait for several minutes and try again. |
A ação falhou. Aguarde vários minutos antes de executar novamente a ação. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Execute UDM Query:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Gere consulta UDM
(Pré-visualização) Use a ação Gerar consulta UDM para criar consultas UDM complexas usando comandos de linguagem natural no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Gerar consulta UDM requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Prompt |
Obrigatório. O comando que o sistema usa para gerar a consulta UDM estruturada. |
Resultados da ação
A ação Get Data Tables fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Generate UDM Query:
{
"query": "ip = \"10.0.0.1\""
}
Mensagens de saída
A ação Generate UDM Query (Gerar consulta UDM) fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully generated a UDM query in Google SecOps. |
A ação foi bem-sucedida. |
Error executing action "Generate UDM Query". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Gerar consulta UDM:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Aceda às tabelas de dados
Use a ação Get Data Tables para obter tabelas de dados disponíveis no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get Data Tables requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Filter Key |
Opcional. A chave pela qual filtrar A opção Os valores possíveis são os seguintes: NameDescription |
Filter Logic |
Opcional. A lógica do filtro a aplicar. Os valores possíveis são os seguintes: Equal (para correspondências exatas)Contains(para correspondências de substring) |
Filter Value |
Opcional. O valor a usar no filtro. Os valores possíveis são os seguintes: Equal (para correspondências exatas)Contains(para correspondências de substring)
Se não for indicado nada, o filtro não é aplicado. |
Expanded Rows |
Opcional. Se selecionada, a resposta inclui linhas detalhadas da tabela de dados. Não está ativada por predefinição. |
Max Data Tables To Return |
Obrigatório. O número de tabelas de dados a devolver. O valor máximo é |
Max Data Table Rows To Return |
Obrigatório. A quantidade de linhas da tabela de dados a devolver. Use este parâmetro apenas se O valor máximo é |
Resultados da ação
A ação Get Data Tables fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Get Data Tables:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table",
"displayName": "data_table",
"createTime": "2025-05-14T12:52:50.064133Z",
"updateTime": "2025-05-14T13:13:48.631442Z",
"columnInfo": [
{
"originalColumn": "columnName1",
"columnType": "STRING"
},
{
"columnIndex": 1,
"originalColumn": "columnName2",
"columnType": "STRING"
},
{
"columnIndex": 2,
"originalColumn": "columnName3",
"columnType": "STRING"
}
],
"dataTableUuid": "c3cce57bb8d940d5ac4523c37d540436",
"approximateRowCount": "2",
"rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
Mensagens de saída
A ação Get Data Tables fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully found data tables for the provided criteria in Google
SecOps |
A ação foi bem-sucedida. |
Error executing action "Get Data Tables". Reason:
ERROR_REASON |
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Get Data Tables:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Receba detalhes de deteção
Use a ação Get Detection Details para obter informações sobre uma deteção no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get Detection Details requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Rule ID |
Obrigatório. O ID da regra relacionada com a deteção. Use o formato |
Detection ID |
Obrigatório. O ID da deteção para obter detalhes. Se forem fornecidos carateres especiais, a ação não falha, mas devolve uma lista de deteções. |
Resultados da ação
A ação Get Detection Details (Obter detalhes da deteção) fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Get Detection Details:
{
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "singleEventRule2",
"urlBackToProduct":
"https://INSTANCE/ruleDetections?
ruleId=ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d&selectedList=RuleDetectionsViewTimeline&
selectedParentDetectionId=de_ce594791-09ed-9681-27fa-3b7c8fa6054c&
selectedTimestamp=2020-12-03T16: 50: 47.647245Z","ruleId": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d",
"ruleVersion": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d@v_1605892822_687503000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT"
}
],
"createdTime": "2020-12-03T19:19:21.325134Z",
"id": "de_ce594791-09ed-9681-27fa-3b7c8fa6054c",
"timeWindow": {
"startTime": "2020-12-03T16:50:47.647245Z",
"endTime": "2020-12-03T16:50:47.647245Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2020-12-03T16:50:47.647245Z",
"collectedTimestamp": "2020-12-03T16:50:47.666064010Z",
"eventType": "NETWORK_DNS",
"productName": "ProductName",
"ingestedTimestamp": "2020-12-03T16:50:49.494542Z"
},
"principal": {
"ip": [
"192.0.2.1"
]
},
"target": {
"ip": [
"203.0.113.1"
]
},
"securityResult": [
{
"action": [
"UNKNOWN_ACTION"
]
}
],
"network": {
"applicationProtocol": "DNS",
"dns": {
"questions": [
{
"name": "example.com",
"type": 1,
"class": 1
}
],
"id": 12345,
"recursionDesired": true
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2020-12-03T16:50:47.647245Z"
}
Mensagens de saída
A ação Get Detection Details (Obter detalhes da deteção) fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully fetched information about the detection with ID
DETECTION_ID in Google Chronicle. |
A ação foi bem-sucedida. |
Error executing action "Get Detection Details". Reason:
ERROR_REASON |
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Get Detection Details:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha listas de referências
Use a ação Get Reference Lists para obter listas de referências disponíveis no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get Reference Lists requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Filter Key |
A chave pela qual filtrar.
Os valores possíveis são os seguintes:
|
Filter Logic |
A lógica do filtro a aplicar. Os valores possíveis são os seguintes: Equal (para correspondências exatas)Contains(para correspondências de substring)O valor predefinido é |
Filter Value |
O valor a usar no filtro.
Os valores possíveis são os seguintes: Equal (para correspondências exatas)Contains(para correspondências de substring)
Se não for indicado nenhum valor, o filtro não é aplicado. |
Expanded Details |
Se selecionada, a ação devolve informações detalhadas sobre as listas de referências.
Não está ativada por predefinição. |
Max Reference Lists To Return |
O número de listas de referências a devolver.
O valor predefinido é |
Resultados da ação
A ação Get Reference List fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela de parede para capas
Num mural de registos, a opção Obter listas de referências apresenta a seguinte tabela:
Nome: Listas de referências disponíveis
Colunas:
- Nome
- Descrição
- Tipo
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Get Reference Lists com a API Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Get Reference Lists com a API Chronicle:
[
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_ID",
"displayName": "REFERENCE_LIST_ID",
"revisionCreateTime": "2025-01-09T15:53:10.851775Z",
"description": "Test reference list",
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-09T15:53:10.851775Z"
}
]
Mensagens de saída
A ação Get Reference Lists fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action
ACTION_NAME. Reason:
ERROR_REASON
|
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action
ACTION_NAME. Reason: "Invalid
value was provided for "Max Reference Lists to Return":
PROVIIDED_VALUE. Positive number should be provided. |
A ação falhou.
Verifique o valor do parâmetro |
Script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Get Reference Lists:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha detalhes da regra
Use a ação Get Rule Details para obter informações sobre uma regra no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get Rule Details requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Rule ID |
Obrigatório. O ID da regra para obter os detalhes. |
Resultados da ação
A ação Get Rule Details (Obter detalhes da regra) fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Get Rule Details com a API Backstory:
{
"ruleId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f",
"versionId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f@v_1602631093_146879000",
"ruleName": "SampleRule",
"metadata": {
"description": "Sample Description of the Rule",
"author": "author@example.com"
},
"ruleText": "rule SampleRule {
meta:
description = \"Sample Description of the Rule\"
author = \"author@example.com\"
events:
// This will just generate lots of detections
$event.metadata.event_type = \"NETWORK_HTTP\"
condition:
$event
} ",
"liveRuleEnabled": true,
"versionCreateTime": "2020-10-13T23:18:13.146879Z",
"compilationState": "SUCCEEDED"
}
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Get Rule Details com a API Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID",
"revisionId": "v_1733917896_973567000",
"displayName": "Test_rule_SingleEvent",
"text": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"author": "example_user",
"metadata": {
"author": "example_user",
"description": "windowed single event example rule",
"severity": null
},
"createTime": "2024-12-11T11:36:18.192127Z",
"revisionCreateTime": "2024-12-11T11:51:36.973567Z",
"compilationState": "SUCCEEDED",
"type": "SINGLE_EVENT",
"allowedRunFrequencies": [
"LIVE",
"HOURLY",
"DAILY"
],
"etag": "CMj55boGEJjondAD",
"ruleId": "RULE_ID",
"versionId": "RULE_ID@v_1733917896_973567000",
"ruleName": "Test_rule_SingleEvent",
"ruleText": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"ruleType": "SINGLE_EVENT",
"versionCreateTime": "2024-12-11T11:51:36.973567Z"
}
Mensagens de saída
A ação Get Rule Details fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully fetched information about the rule with ID
RULE_ID in Google Chronicle.
|
A ação foi bem-sucedida. |
Error executing action "Get Rule Details". Reason:
ERROR_REASON
|
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Get Rule Details:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Is Value In Data Table
Use a condição Is Value In Data Table para verificar se os valores fornecidos estão numa tabela de dados no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Is Value In Data Table requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Data Table Name |
Obrigatório. O nome a apresentar da tabela de dados a pesquisar. |
Column |
Opcional. Uma lista de colunas separadas por vírgulas para pesquisar. Se não for indicado nenhum valor, a ação pesquisa todas as colunas. |
Values |
Obrigatório. Uma lista de valores separados por vírgulas a pesquisar. |
Case Insensitive Search |
Opcional. Se estiver selecionada, a pesquisa não é sensível a maiúsculas e minúsculas. Ativada por predefinição. |
Max Data Table Rows To Return |
Obrigatório. O número de linhas da tabela de dados a devolver por valor correspondente. O valor máximo é |
Resultados da ação
A ação O valor está na tabela de dados fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Is Value In Data Table:
[{
"Entity": "asda",
"EntityResult": {
"is_found": true,
"matched_rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
}]
Mensagens de saída
A ação Is Value In Data Table (O valor está na tabela de dados) fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully searched provided values in the data table {data table}
in Google SecOps.
|
A ação foi bem-sucedida. |
| Erro ao executar a ação "Is Value In Data Table" (O valor está na tabela de dados). Motivo: ERROR_REASON | A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Is Value In Data Table". Reason: the
following data tables were not found in:
DATA_TABLE_NAME:
COLUMN_NAMES. Please check the
spelling.
|
A ação falhou. |
Error executing action "Is Value In Data Table". Reason:
This action is not supported for Backstory API configuration. Please update
the integration configuration.
|
A ação falhou. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Is Value In Data Table:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Is Value In Reference List
Use a ação Is Value In Reference List para verificar se os valores fornecidos são encontrados em listas de referência no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Is Value In Reference List requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Reference List Names |
Obrigatório. Uma lista separada por vírgulas de nomes de listas de referências a pesquisar. |
Values |
Obrigatório. Uma lista de valores separados por vírgulas a pesquisar. |
Case Insensitive Search |
Opcional. Se estiver selecionada, a pesquisa não é sensível a maiúsculas e minúsculas. |
Resultados da ação
A ação Is Value In Reference List fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Is Value In Reference List com a API Backstory:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Is Value In Reference List com a API Chronicle:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
Mensagens de saída
A ação Is Value In Reference List fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully searched provided values in the reference lists in
Google Chronicle.
|
A ação foi bem-sucedida. |
| Erro ao executar a ação "Is Value In Reference List". Motivo: ERROR_REASON | A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Is Value In Reference List". Reason: the
following reference lists were not found in Google Chronicle:
MISSING_REFERENCE_LIST_NAME(S).
Please use the action "Get Reference Lists" to see what reference lists are
available.
|
A ação falhou. Execute a ação Get Reference Lists para verificar se existem listas disponíveis. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Is Value In Reference List:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Apresentar recursos
Use a ação List Assets para listar recursos no Google SecOps SIEM com base em entidades relacionadas num período especificado.
Esta ação só suporta os hashes MD5, SHA-1 e SHA-256.
Esta ação é executada nas seguintes entidades do Google SecOps:
URLIP AddressHash
Dados de ações
A ação List Assets requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Max Hours Backwards |
O número de horas anteriores ao momento atual para obter os recursos.
O valor predefinido é |
Create Insight |
Se selecionada, a ação cria uma estatística com informações
acerca das entidades. Ativada por predefinição. |
Max Assets To Return |
O número de recursos a devolver. O valor predefinido é
|
Time Frame |
Opcional. Um período para obter os resultados. Os valores possíveis são os seguintes:
Se O valor predefinido é |
Start Time |
A hora de início no formato ISO 8601. Este parâmetro é obrigatório se o parâmetro
|
End Time |
A hora de fim no formato ISO 8601.
Se não definir um valor e definir o parâmetro |
Resultados da ação
A ação List Assets (Listar recursos) fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela de parede para capas
Nome: ENTITY_IDENTIFIER
Colunas:
- Nome do anfitrião
- Endereço IP
- First Seen Artifact
- Last Seen Artifact
Resultado JSON
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação List Assets com a API Backstory:
{
"assets": [
{
"asset": {
"hostname": "example"
},
"firstSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-02-28T09:18:15.675Z"
},
"lastSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-09-24T06:43:59Z"
}
}
],
"uri": [
"https://INSTANCE/domainResults?domain=www.example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2020-09-27T12%3A07%3A34.166830443Z"
]
}
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação List Assets com a API Chronicle:
[
{
"Entity": "192.0.2.229",
"EntityResult": {
"assets": [
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Open Source Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2024-09-20T14:14:07.843Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Open Source Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "OPEN_SOURCE_INTEL_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "ex ",
"valueType": "DOMAIN_NAME"
}
},
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Active Breach Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2023-07-05T02:42:52.935Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Active Breach Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "MANDIANT_ACTIVE_BREACH_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "example.com",
"valueType": "DOMAIN_NAME"
}
}
],
"uri": "https://INSTANCE.backstory.chronicle.security/destinationIpResults?ADDRESS=192.0.2.229&selectedList=IpViewDistinctAssets&referenceTime=2025-01-23T11%3A16%3A24.517449Z"
}
}
]
Mensagens de saída
A ação List Assets (Listar recursos) fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully listed related assets for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
A ação foi bem-sucedida. |
Error executing action "List Assets". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação List Assets:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Apresentar eventos
Use a ação List Events para listar eventos num recurso específico num período especificado.
Esta ação só pode obter 10 000 eventos.
Esta ação é executada nas seguintes entidades do Google SecOps:
IP addressMAC addressHostname
Dados de ações
A ação List Events requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Event Types |
Uma lista de tipos de eventos separados por vírgulas.
Se não for indicado nenhum valor, são obtidos todos os tipos de eventos. Para ver uma lista de todos os valores possíveis, consulte os Valores possíveis do tipo de evento. |
Time Frame |
O período especificado. Recomendamos que o mantenha o mais pequeno possível para obter melhores resultados.
Se Se Os valores possíveis são os seguintes:
O valor predefinido é |
Start Time |
A hora de início no formato ISO 8601. Este parâmetro é obrigatório se o parâmetro |
End Time |
A hora de fim no formato ISO 8601. Se não for indicado nenhum valor e o parâmetro Este parâmetro aceita o valor |
Reference Time |
A hora de referência para a pesquisa de eventos.
Se não for indicado nenhum valor, a ação usa a hora de fim como referência. |
Output |
Obrigatório. O formato de saída. Os valores possíveis são os seguintes:
|
Max Events To Return |
O número de eventos a processar para cada tipo de entidade. O valor predefinido é |
Valores possíveis do tipo de evento
Os valores possíveis para o parâmetro Event Type são os seguintes:
EVENTTYPE_UNSPECIFIEDPROCESS_UNCATEGORIZEDPROCESS_LAUNCHPROCESS_INJECTIONPROCESS_PRIVILEGE_ESCALATIONPROCESS_TERMINATIONPROCESS_OPENPROCESS_MODULE_LOADREGISTRY_UNCATEGORIZEDREGISTRY_CREATIONREGISTRY_MODIFICATIONREGISTRY_DELETIONSETTING_UNCATEGORIZEDSETTING_CREATIONSETTING_MODIFICATIONSETTING_DELETIONMUTEX_UNCATEGORIZEDMUTEX_CREATIONFILE_UNCATEGORIZEDFILE_CREATIONFILE_DELETIONFILE_MODIFICATIONFILE_READFILE_COPYFILE_OPENFILE_MOVEFILE_SYNCUSER_UNCATEGORIZEDUSER_LOGINUSER_LOGOUTUSER_CREATIONUSER_CHANGE_PASSWORDUSER_CHANGE_PERMISSIONSUSER_STATSUSER_BADGE_INUSER_DELETIONUSER_RESOURCE_CREATIONUSER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_UPDATE_PERMISSIONSUSER_COMMUNICATIONUSER_RESOURCE_ACCESSUSER_RESOURCE_DELETIONGROUP_UNCATEGORIZEDGROUP_CREATIONGROUP_DELETIONGROUP_MODIFICATIONEMAIL_UNCATEGORIZEDEMAIL_TRANSACTIONEMAIL_URL_CLICKNETWORK_UNCATEGORIZEDNETWORK_FLOWNETWORK_CONNECTIONNETWORK_FTPNETWORK_DHCPNETWORK_DNSNETWORK_HTTPNETWORK_SMTPSTATUS_UNCATEGORIZEDSTATUS_HEARTBEATSTATUS_STARTUPSTATUS_SHUTDOWNSTATUS_UPDATESCAN_UNCATEGORIZEDSCAN_FILESCAN_PROCESS_BEHAVIORSSCAN_PROCESSSCAN_HOSTSCAN_VULN_HOSTSCAN_VULN_NETWORKSCAN_NETWORKSCHEDULED_TASK_UNCATEGORIZEDSCHEDULED_TASK_CREATIONSCHEDULED_TASK_DELETIONSCHEDULED_TASK_ENABLESCHEDULED_TASK_DISABLESCHEDULED_TASK_MODIFICATIONSYSTEM_AUDIT_LOG_UNCATEGORIZEDSYSTEM_AUDIT_LOG_WIPESERVICE_UNSPECIFIEDSERVICE_CREATIONSERVICE_DELETIONSERVICE_STARTSERVICE_STOPSERVICE_MODIFICATIONGENERIC_EVENTRESOURCE_CREATIONRESOURCE_DELETIONRESOURCE_PERMISSIONS_CHANGERESOURCE_READRESOURCE_WRITTENANALYST_UPDATE_VERDICTANALYST_UPDATE_REPUTATIONANALYST_UPDATE_SEVERITY_SCOREANALYST_UPDATE_STATUSANALYST_ADD_COMMENT
Resultados da ação
A ação List Events fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação List Events:
{
"statistics": {
"NETWORK_CONNECTION": 10
}
{
"events": [
{
"metadata": {
"eventTimestamp": "2020-09-28T14:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
},
{
"metadata": {
"eventTimestamp": "2020-09-28T17:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
}
],
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=user-example-pc&referenceTime=2020-09-28T17%3A00%3A00Z&selectedList=AssetViewTimeline&startTime=2020-09-28T14%3A20%3A00Z&endTime=2020-09-28T20%3A20%3A00Z"
]
}
}
Mensagens de saída
A ação List Events fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully listed related events for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
A ação foi bem-sucedida. |
Error executing action "List Events". Reason:
ERROR_REASON
|
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "List Events". Reason: invalid event type
is provided. Please check the spelling. Supported event types:
SUPPORTED_EVENT_TYPES
|
A ação falhou.
Verifique a ortografia. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação List Events:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Liste IOCs
Use a ação List IOCs para listar todos os IOCs descobertos na sua empresa num intervalo de tempo especificado.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação List IOCs requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Start Time |
A hora de início dos resultados no formato ISO 8601. |
Max IoCs to Fetch |
O número máximo de IoCs a devolver.
O intervalo é O valor predefinido é |
Resultados da ação
A ação List IOCs fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela de parede para capas
Colunas:
- Domínio
- Categoria
- Fonte
- Confiança
- Gravidade
- Tempo de carregamento de IoC
- Hora da primeira deteção do IoC
- IoC Last Seen Time
- URI
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação List IOCs:
{
"matches":[
{
"artifact":{
"domainName":"www.example.com"
},
"firstSeenTime":"2018-05-25T20:47:11.048998Z",
"iocIngestTime":"2019-08-14T21:00:00Z",
"lastSeenTime":"2019-10-24T16:19:46.880830Z",
"sources":[
{
"category":"Spyware Reporting Server",
"confidenceScore":{
"intRawConfidenceScore":0,
"normalizedConfidenceScore":"Low"
},
"rawSeverity":"Medium",
"source":"Example List"
}
],
"uri":["URI"]
}
],
"moreDataAvailable":true
}
Mensagens de saída
A ação List IOCs fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully listed IOCs from the provided timeframe in Google
Chronicle. |
A ação foi bem-sucedida. |
Error executing action "List IOCs". Reason:
ERROR_REASON.
|
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação List IOCs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Pesquise alertas semelhantes
Use a ação Pesquisar alertas semelhantes para pesquisar alertas semelhantes no Google SecOps.
Dados de ações
A ação Procurar alertas semelhantes requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Time Frame |
O período dos resultados. Para obter os melhores resultados, mantenha
o período o mais restrito possível.
Os valores possíveis são os seguintes:
|
IOCs / Assets |
Obrigatório. Uma lista separada por vírgulas de IoCs ou recursos a encontrar nos alertas. A ação faz uma pesquisa separada para cada item fornecido. |
Similarity By |
Os atributos a usar para encontrar alertas semelhantes. Os valores possíveis são os seguintes:
O valor predefinido é |
Como funciona o parâmetro Semelhança por
O parâmetro Similarity By aplica-se de forma diferente aos alertas de regras e aos alertas externos.
Se
Alert Name, Alert Type and ProductouAlert Name, Alert Typeestiver selecionado:Para alertas externos, a ação procura outros alertas externos que tenham o mesmo nome.
Para alertas de regras, a ação processa alertas originados da mesma regra.
Se
Productestiver selecionado:- A ação processa alertas originados do mesmo produto, independentemente de serem alertas de regras ou alertas externos.
Por exemplo, um alerta originado no Crowdstrike só é associado a outros alertas do Crowdstrike.
Se
Only IOCs/Assetsestiver selecionado:A ação corresponde a alertas com base nos IOCs fornecidos no parâmetro
IOCs/Assets. Procura estes indicadores em alertas de regras e alertas externos.Um alerta de IOC só pode executar esta ação quando esta opção está selecionada. Se for fornecida qualquer outra opção, a ação é predefinida para
Only IOCs/Assets.
A ação Procurar alertas semelhantes é uma ferramenta versátil para analisar alertas. Permite aos analistas correlacionar alertas do mesmo período e extrair IOCs relevantes para determinar se um incidente é um verdadeiro positivo.
Resultados da ação
A ação Procurar alertas semelhantes fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Disponível |
| Tabela de parede para capas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link da parede da caixa
A ação Pesquisar alertas semelhantes pode devolver os seguintes links:
- CBN: GENERATED_LINK_BASED_ON_IU_ROOT_URL
- Regra: GENERATED_LINK_BASED_ON_IU_ROOT_URL
Tabela de parede para capas
Nome da tabela: IOC/ASSET_IDENTIFIER
Colunas da tabela:
- Produto
- Nomes de anfitrião
- IPs
- Utilizadores
- Endereços de email
- Assuntos
- URLs
- Hashes
- Processos
- Primeira visualização
- Última atividade
- Nome do alerta
- Geral
Resultado JSON
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Lookup Similar Alerts:
{
"count": 123,
"distinct": [
{
"first_seen": "time of the first alert that matched our conditions",
"last_seen": "time of the last alert that matched our conditions",
"product_name": "product name",
"used_ioc_asset": "what user provided in the parameter IOCs and Assets",
"name": "Alert Name/Rule Name",
"hostnames": "csv list of unique hostnames that were found in alerts",
"urls": "csv list of unique urls that were found in alerts",
"ips": "csv list of unique ips that were found in alerts",
"subjects": "csv list of unique subjects that were found in alerts",
"users": "csv list of unique users that were found in alerts",
"email_addresses": "csv list of unique email_addresses that were found in alerts",
"hashes": "csv list of unique hashes that were found in alerts",
"processes": "csv list of unique processes that were found in alerts"
"rule_urls": ["Chronicle URL from API response for Rule"]
"count": 123
}
],
"processed_alerts": 10000,
"run_time": "how long it took to run the action or at least API request",
"EXTERNAL_url": "Chronicle URL from API response for EXTERNAL"
}
Mensagens de saída
A ação Procurar alertas semelhantes fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Lookup Similar Alerts". Reason:
ERROR_REASON
|
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Error executing action "Lookup Similar Alerts". Reason: all of the
retries are exhausted. Please wait for a minute and try again.
|
A ação falhou. Aguarde alguns minutos antes de executar novamente a ação. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Lookup Similar Alerts:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Tchim-tchim
Use a ação Ping para testar a conetividade com o Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Ping fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping apresenta as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully connected to the Google Chronicle backstory with the
provided connection parameters! |
A ação foi bem-sucedida. |
Failed to connect to the Google Chronicle backstory. Error is
ERROR_REASON
|
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores da saída do resultado do script quando usa a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Remova linhas da tabela de dados
Use a ação Remover linhas da tabela de dados para remover linhas de uma tabela de dados no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Remover linhas da tabela de dados requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Data Table Name |
Obrigatório. O nome a apresentar da tabela de dados a atualizar. |
Rows |
Obrigatório. Uma lista de objetos JSON usados para pesquisar e eliminar linhas. Inclua apenas colunas válidas. O valor predefinido é o seguinte: |
Resultados da ação
A ação Remover linhas da tabela de dados fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve o resultado JSON recebido quando usa a ação Remover linhas da tabela de dados:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
Mensagens de saída
A ação Remover linhas da tabela de dados fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully removed rows from the data table
DATA_TABLE_NAME in
Google SecOps.
|
A ação foi bem-sucedida. |
Error executing action "Remove Rows From Data Table". Reason:
ERROR_REASON
|
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Remover linhas da tabela de dados:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Remova valores da lista de referência
Use a ação Remover valores da lista de referência para remover valores de uma lista de referência no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Remover valores da lista de referência requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Reference List Name |
Obrigatório. O nome da lista de referência a atualizar. |
Values |
Obrigatório. Uma lista de valores separados por vírgulas a remover da lista de referência. |
Resultados da ação
A ação Remover valores da lista de referência fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Remover valores da lista de referência com a API Backstory:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
O exemplo seguinte descreve a saída do resultado JSON recebida quando usa a ação Remover valores da lista de referência com a API Chronicle:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/<var class="readonly">REFERENCE_LIST_NAME</var>' }}",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
Mensagens de saída
A ação Remover valores da lista de referência fornece as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Successfully removed values from the reference list.
|
A ação foi bem-sucedida. |
Error executing action "Remove Values From Reference List". Reason:
ERROR_REASON
|
A ação falhou.
Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Remover valores da lista de referência:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conetores
Para mais detalhes sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).
Google Chronicle – Conetor de alertas do Chronicle
Use o Google Chronicle – Conetor de alertas do Chronicle para extrair informações sobre alertas baseados em regras do Google SecOps SIEM.
Vista geral
O Google Chronicle – Conetor de alertas do Chronicle carrega vários tipos de alertas do SIEM do Google SecOps.
As principais funcionalidades e detalhes operacionais incluem:
Consultar dados num período de uma semana.
Para evitar alertas perdidos devido a atrasos na indexação, pode configurar um período de preenchimento e um tempo limite de conector aumentado, embora um preenchimento significativo possa afetar negativamente o desempenho.
Utiliza listas dinâmicas para uma configuração flexível.
Fornece um
Fallback Severitypara alertas que não têm um valor de gravidade.Para carregar IoCs, tem de criar uma regra de deteção correspondente no Google SecOps SIEM que gere alertas com base nos IoCs.
Filtro de lista dinâmica
A lista dinâmica é usada para filtrar alertas diretamente na página de configuração do conector.
Lógica do operador
A lista dinâmica usa uma combinação de lógica AND e OR para processar regras de filtro:
Lógica
OR: os valores na mesma linha, separados por uma vírgula, são tratados com a lógicaOR(comoRule.severity = low,mediumsignifica gravidadelowOUmedium).Lógica
AND: cada linha separada na lista dinâmica é tratada com a lógicaAND(como uma linha paraRule.severitye uma linha paraRule.ruleNamesignificaseverityEruleName).Os operadores suportados (
=,!=,>,<,>=e<=) variam consoante a chave do filtro.
Seguem-se exemplos de utilização de regras de operador:
- Rule.severity = medium: o conector só carrega alertas de regras com a gravidade média.
- Rule.severity = low,medium: o conetor só carrega alertas de regras com gravidade média ou baixa.
- Rule.ruleName = default_rule: o conector só carrega alertas de regras com o nome
default_rule.
Filtros suportados
O Chronicle ALerts Connector suporta a filtragem nas seguintes chaves:
| Chave de filtro | Chave de resposta | Operadores | Valores possíveis |
|---|---|---|---|
Rule.severity |
detection ou ruleLabels ou severity |
=, !=, >, <,
>=, <= |
Os valores não são sensíveis a maiúsculas e minúsculas. |
Rule.ruleName |
detection ou ruleName |
=, != |
Definido pelo utilizador. |
Rule.ruleID |
detection ou ruleId |
=, != |
Definido pelo utilizador. |
Rule.ruleLabels.{key} |
detection ou ruleLabels |
=, != |
Definido pelo utilizador. |
Manuseamento ruleLabels
Para filtrar por uma etiqueta específica numa regra, use o formato Rule.ruleLabels.{key}.
Por exemplo, para filtrar por uma etiqueta com a chave type e o valor suspicious_behaviour, a entrada da lista dinâmica deve ser:
Rule.ruleLabels.type=suspicious_behaviour
Entradas do conetor
O Conector de alertas do Chronicle requer os seguintes parâmetros:
O valor predefinido é Medium.
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). |
Environment Field Name |
Opcional. O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. O valor predefinido é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo limite, em segundos, para o processo Python que executa o script atual. O valor predefinido é |
API Root |
Obrigatório. A raiz da API da instância do SIEM do Google SecOps. O Google SecOps fornece pontos finais regionais para cada API, por exemplo, Contacte o Cloud Customer Care para saber que ponto final usar. O valor predefinido é |
User's Service Account |
Obrigatório. O conteúdo JSON completo da conta de serviço usada para autenticação. |
Fallback Severity |
Obrigatório. A gravidade predefinida a usar se o alerta do SIEM do Google SecOps não incluir um valor de gravidade. Os valores possíveis são os seguintes:
|
Max Hours Backwards |
Opcional. O número de horas antes da execução inicial do conector para obter incidentes. Este parâmetro aplica-se apenas uma vez. O valor máximo é O valor predefinido é |
Max Alerts To Fetch |
Opcional. O número de alertas a processar em cada iteração do conector. O valor predefinido é |
Disable Event Splitting |
Opcional. Se selecionado, o conector não divide os eventos originais em várias partes, o que garante que a contagem de eventos corresponde entre a origem e o Google SecOps SOAR. Não está ativada por predefinição. |
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL quando se liga ao servidor SIEM do Google SecOps. Ativada por predefinição. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a usar. |
Proxy Username |
Opcional. O nome de utilizador do proxy para autenticação. |
Proxy Password |
Opcional. A palavra-passe do proxy para autenticação. |
Disable Overflow |
Opcional. Se selecionado, o conetor ignora o mecanismo de overflow do Google SecOps. Não está ativada por predefinição. |
Regras de conector
O Google Chronicle – Conetor de alertas do Chronicle suporta proxies.
Eventos de conetores
O Google Chronicle – Conetor de alertas do Chronicle processa três tipos de eventos do SIEM do Google SecOps.
Alertas baseados em regras
Este tipo de evento é gerado por uma regra de deteção no Google SecOps SIEM.
{
"alert_type": "RULE",
"event_type": "NETWORK_DHCP",
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "d3_test",
"urlBackToProduct": "https://INSTANCE/ruleDetections?ruleId=ru_74dd17e2-5aad-4053-acd7-958bead014f2&selectedList=RuleDetectionsViewTimeline&selectedParentDetectionId=de_b5dadaf4-b398-325f-9f09-833b71b3ffbb&selectedTimestamp=2022-02-08T05:02:36Z&versionTimestamp=2020-11-19T18:19:11.951951Z",
"ruleId": "ru_74dd17e2-5aad-4053-acd7-958bead014f2",
"ruleVersion": "ru_74dd17e2-5aad-4053-acd7-958bead014f2@v_1605809951_951951000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT",
"ruleLabels": [
{
"key": "author",
"value": "analyst123"
},
{
"key": "description",
"value": "8:00 AM local time"
},
{
"key": "severity",
"value": "Medium"
}
]
}
],
"createdTime": "2022-02-08T06:07:33.944951Z",
"id": "de_b5dadaf4-b398-325f-9f09-833b71b3ffbb",
"timeWindow": {
"startTime": "2022-02-08T05:02:36Z",
"endTime": "2022-02-08T05:02:36Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2022-02-08T05:02:36Z",
"eventType": "NETWORK_DHCP",
"productName": "Infoblox DHCP",
"ingestedTimestamp": "2022-02-08T05:03:03.892234Z"
},
"principal": {
"ip": [
"198.51.100.255",
"198.51.100.1"
],
"mac": [
"01:23:45:ab:cd:ef"
],
"email_address": [
"example@example.com"
]
},
"target": {
"hostname": "dhcp_server",
"ip": [
"198.51.100.0",
"198.51.100.1"
]
},
"network": {
"applicationProtocol": "DHCP",
"dhcp": {
"opcode": "BOOTREQUEST",
"ciaddr": "198.51.100.255",
"giaddr": "198.51.100.0",
"chaddr": "01:23:45:ab:cd:ef",
"type": "REQUEST",
"clientHostname": "example-user-pc",
"clientIdentifier": "AFm/LDfjAw=="
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2022-02-08T05:02:36Z"
}
Alertas externos
Este tipo de evento baseia-se num alerta externo carregado no SIEM do Google SecOps.
{
"alert_type": "External",
"event_type": "GENERIC_EVENT",
"name": "Authentication failure [32038]",
"sourceProduct": "Internal Alert",
"severity": "Medium",
"timestamp": "2020-09-30T18:03:34.898194Z",
"rawLog": "U2VwIDMwIDE4OjAzOjM0Ljg5ODE5NCAxMC4wLjI5LjEwOSBBdXRoZW50aWNhdGlvbiBmYWlsdXJlIFszMjAzOF0=",
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=198.51.100.109&namespace=[untagged]&referenceTime=2020-09-30T18%3A03%3A34.898194Z&selectedList=AssetViewTimeline&startTime=2020-09-30T17%3A58%3A34.898194Z&endTime=2020-09-30T18%3A08%3A34.898194Z&selectedAlert=-610875602&selectedEventTimestamp=2020-09-30T18%3A03%3A34.898194Z"
],
"event": {
"metadata": {
"eventTimestamp": "2020-09-30T18:03:34.898194Z",
"eventType": "GENERIC_EVENT",
"productName": "Chronicle Internal",
"ingestedTimestamp": "2020-09-30T18:03:34.991592Z"
},
"target": [
{
"ip": [
"198.51.100.255",
"198.51.100.1"
]
}
],
"securityResult": [
{
"summary": "Authentication failure [32038]",
"severityDetails": "Medium"
}
]
}
}
Alertas de IoC
Este tipo de evento é uma correspondência com uma lista predefinida de IOCs.
{
"alert_type": "IOC",
"event_type": "IOC Alert",
"artifact": {
"domainName": "example.com"
},
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2020-09-07T11:00:00Z",
"firstSeenTime": "2018-10-03T00:01:59Z",
"lastSeenTime": "2022-02-04T20:02:29.191Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-08T15%3A08%3A52.434022777Z"
]
}
Estrutura do alerta
A tabela seguinte descreve como o Google Chronicle - Chronicle Alerts Connector preenche os atributos de um alerta no Google SecOps. Os atributos dos alertas são agrupados pela respetiva origem e tipo de alerta para maior clareza.
Atributos gerados internamente
Estes atributos são gerados pela framework e são consistentes em todos os tipos de alertas.
| Nome do atributo de alerta | Origem |
|---|---|
SourceSystemName |
Gerado internamente pela framework. |
TicketId |
O valor é retirado do ficheiro ids.json. |
DisplayId |
Gerado automaticamente. |
Atributos para todos os tipos de alertas
Estes atributos são derivados do alerta de origem, mas a respetiva chave de origem varia consoante o tipo de alerta.
| Nome do atributo de alerta | Origem |
|---|---|
Priority |
Obtido da resposta da API ou do parâmetro Fallback Severity. |
DeviceVendor |
O valor codificado é Google Chronicle. |
DeviceProduct |
Um valor codificado que depende do tipo de alerta: RULE para alertas de deteção de regras, IOC para correspondências de IOC ou EXTERNAL para alertas externos. |
Description |
Para alertas baseados em regras, esta informação é proveniente de detection/ruleLabels/description (se existir). Não disponível para outros tipos de alertas. |
Reason |
Não disponível. |
SourceGroupingIdentifier |
Não disponível. |
Chronicle Alert - Attachments |
Não disponível. |
Tipos de alertas específicos
Estes atributos são específicos da origem do alerta, o que facilita a compreensão de como cada um é preenchido.
| Nome do atributo de alerta | Alertas baseados em regras | Alertas baseados em IOCs | Alertas externos |
|---|---|---|---|
Name |
detection/ruleName |
IOC Alert (codificado) |
alertInfos/name |
RuleGenerator |
detection/ruleName |
IOC Alert (incorporado) |
alertInfos/name |
StartTime e EndTime |
timeWindow ou startTime |
lastSeenTime |
timestamp |
Chronicle Alert - Extensions |
rule_id (ruleId), product_name (CSV de um evento ou metadados, ou um valor productName) |
Não aplicável | alert_name (name), product_name (CSV
de um evento UDM, metadados ou um valor productName) |
Obsoleto: conetor de alertas do Google Chronicle
Este conetor extrai alertas de recursos do SIEM do Google SecOps e converte-os em alertas do SIEM do Google SecOps.
Pode autenticar-se através da biblioteca Google com google.oauth2.service_account e AuthorizedSession.
Este conetor requer a API SIEM Search do Google SecOps.
Entradas do conetor
O Conector de alertas requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório.
O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
Environment Field Name |
Opcional. O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. O valor predefinido é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo limite, em segundos, para o processo Python que executa o script atual. O valor predefinido é |
Service Account Credentials |
Obrigatório. O conteúdo do ficheiro JSON da conta de serviço. |
Fetch Max Hours Backwards |
Opcional. O número de horas antes da execução inicial do conector para obter incidentes. Este parâmetro aplica-se apenas uma vez. O valor máximo é O valor predefinido é |
Descontinuado: conetor de IOCs do Google Chronicle
Em alternativa, use o Chronicle Alerts Connector.
Este conetor extrai as correspondências de domínios de IOC do SIEM do Google SecOps e converte-as em alertas do SIEM do Google SecOps.
Pode autenticar-se através da biblioteca Google com google.oauth2.service_account e AuthorizedSession.
Este conetor usa a API Google SecOps SIEM Search.
Entradas do conetor
O conector de IoCs do Google Chronicle requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório.
O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
Environment Field Name |
Opcional. O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. O valor predefinido é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
Script Timeout (Seconds) |
Obrigatório. O limite de tempo limite, em segundos, para o processo Python que executa o script atual. O valor predefinido é |
Service Account Credentials |
Obrigatório. O conteúdo do ficheiro JSON da conta de serviço. |
Fetch Max Hours Backwards |
Opcional. O número de horas antes da execução inicial do conector a partir das quais as alertas devem ser obtidos. Este parâmetro aplica-se apenas uma vez. O valor máximo é O valor predefinido é |
Max Alerts To Fetch |
Opcional. O número máximo de alertas a processar em cada iteração do conector. O valor predefinido é |
Empregos
Para mais informações sobre tarefas, consulte os artigos Configure uma nova tarefa e Agendamento avançado.
Pré-requisitos de configuração da tarefa
Antes de avançar para a configuração da tarefa, configure o Chronicle Alerts Connector.
Para configurar tarefas do Google Chronicle, siga estes passos:
No Google SecOps SOAR, aceda a Resposta > Programador de tarefas.
Clique em adicionarCriar nova tarefa.
Na caixa de diálogo Adicionar tarefa apresentada, selecione a tarefa do Google Chronicle correspondente e clique em Guardar.
Opcional: edite o nome e a descrição da tarefa, se necessário.
Na secção Detalhes da tarefa:
- Certifique-se de que a opção GoogleChronicle está selecionada no campo Integração.
Para executar automaticamente a tarefa em intervalos especificados, configure um intervalo do agendador. A configuração do agendador é obrigatória para concluir a configuração da tarefa.
Uma vez que as tarefas do Google Chronicle podem sincronizar grandes quantidades de dados numa execução, a Google recomenda que defina o intervalo do agendador, no mínimo, para 2 minutos.
Google Chronicle – Tarefa de sincronização de dados
Esta tarefa funciona com alertas criados pelo conetor de alertas do Chronicle e pela tarefa criador de alertas do Chronicle, mas não com alertas de conetores descontinuados (conetor de alertas e conetor de IOCs).
A tarefa Google Chronicle Sync Data sincroniza os alertas e os casos do Google SecOps atualizados geridos no Google SecOps SOAR de volta para o Google SecOps SIEM. Consequentemente, pode acompanhar as mesmas informações em ambos os sistemas imediatamente após fazer alterações no Google SecOps SOAR.
Sincronização de dados de casos e alertas
A tarefa Google Chronicle Sync Data monitoriza e sincroniza os seguintes campos para registos:
| Campo monitorizado | Campo sincronizado |
|---|---|
Priority |
Priority |
Status |
Status |
Title |
Title |
| Não aplicável | Stage |
| Não aplicável | Google SecOps Case ID |
| Não aplicável | Google SecOps Case ID |
O ID do registo do Google SecOps é um identificador exclusivo do registo no Google SecOps SOAR e no Google SecOps SIEM.
A tarefa Google Chronicle Sync Data monitoriza e sincroniza os seguintes campos para alertas:
| Campo monitorizado | Campo sincronizado |
|---|---|
Priority |
Priority |
Status |
Status |
Case ID |
Não aplicável |
| Não aplicável | Google SecOps Alert ID |
| Não aplicável | Google SecOps Case ID |
| Não aplicável | Verdict |
| Não aplicável | Closure Comment |
| Não aplicável | Closure Reason |
| Não aplicável | Closure Root Cause |
| Não aplicável | Usefulness |
O ID de alerta do Google SecOps é um identificador de alerta exclusivo no SOAR do Google SecOps.
Numa iteração, a tarefa sincroniza até 1000 registos e 1000 alertas. A sincronização ocorre no ambiente SOAR do Google SecOps especificado na configuração da tarefa. O mecanismo de sincronização garante que não é possível sincronizar um registo do ambiente especificado com outro ambiente.
Configure a tarefa de dados de sincronização do Google Chronicle
Esta tarefa só sincroniza registos de SOAR do Google SecOps carregados a partir do SIEM do Google SecOps.
Certifique-se de que concluiu os passos pré-requisitos antes de configurar esta tarefa.
Para configurar a tarefa Google Chronicle Sync Data, siga estes passos:
Na secção Parâmetros, configure os seguintes parâmetros:
Parâmetro Descrição EnvironmentObrigatório.
O nome do ambiente criado no Google SecOps SOAR para sincronizar registos e alertas.
API RootObrigatório.
A raiz da API da instância do SIEM do Google SecOps.
O Google SecOps fornece pontos finais regionais para cada API.
Por exemplo,
https://europe-backstory.googleapis.comouhttps://asia-southeast1-backstory.googleapis.com.Se não souber que ponto final usar, [contacte o apoio técnico do Google Cloud](/chronicle/docs/getting-support).
O valor predefinido é
https://backstory.googleapis.com.User's Service AccountObrigatório.
O conteúdo do ficheiro JSON da conta de serviço da sua instância do Google SecOps SIEM.
Max Hours BackwardsOpcional.
O número de horas a partir das quais obter alertas. Use apenas números positivos.
O valor predefinido é
24.Verify SSLObrigatório.
Se selecionada, a integração valida o certificado SSL quando se liga ao servidor SIEM do Google SecOps.
Ativada por predefinição.
A tarefa Google Chronicle Sync Data está ativada por predefinição. Quando guarda a tarefa configurada corretamente, esta começa a sincronizar dados com o SIEM do Google SecOps imediatamente. Para desativar a tarefa, ative/desative o interruptor junto ao nome da tarefa.
Para concluir a configuração, clique em Guardar.
Se o botão Guardar estiver inativo, certifique-se de que definiu todos os parâmetros obrigatórios.
Opcional: para executar a tarefa imediatamente após guardar, clique em Executar agora.
A opção Executar agora permite-lhe acionar uma única execução de tarefa que sincroniza os dados atuais de alertas e registos do Google SecOps SOAR com o Google SecOps SIEM.
Mensagens de registo
A tabela seguinte indica possíveis mensagens de registo para a tarefa Google Chronicle Data Sync:
| Entrada do registo | Tipo | Descrição |
|---|---|---|
Unable to parse credentials as JSON. Please validate creds.
|
Erro | A conta de serviço fornecida no parâmetro User's Service Account
está danificada. |
"Max Hours Backwards" parameter must be a positive number. |
Erro | O parâmetro Max Hours backwards está definido como 0 ou um número negativo. |
Current platform version does not support SDK methods designed for
Google SecOps. Please use version 6.1.33 or higher. |
Erro | A versão atual da instância da plataforma Google SecOps não suporta a execução do script de tarefa de dados do Chronicle Sync. Isto significa que a versão de compilação da instância é anterior à 6.1.33. |
Unable to connect to Google SecOps, please validate
your credentials: CREDENTIALS |
Erro | Não foi possível validar os valores raiz da API ou da conta de serviço na instância do SIEM do Google SecOps. Este erro é comunicado se o teste de conetividade falhar. |
--- Start Processing Updated Cases --- |
Informações | O ciclo de processamento do registo começou a ser executado. |
Last success time. Date time:DATE_AND_TIME.
Unix:UNIX_EPOCH_TIME
|
Informações | A data/hora da última execução bem-sucedida do script para registos ou alertas:
|
Key: "DATABASE_KEY" does not exist in the
database. Returning default
value instead: DEFAULT_VALUE |
Informações | A chave da base de dados de alertas ou registos pendentes não existe na base de dados. Esta entrada de registo aparece sempre na primeira execução do script. |
Failed to parse data as JSON. Returning default value instead:
"DEFAULT_VALUE. ERROR:
ERROR |
Erro | O valor obtido da base de dados não está num formato JSON válido. |
Exception was raised from the database. ERROR:
ERROR. |
Erro | Existe um problema de ligação com a base de dados. |
|
Informações | Os IDs de alertas ou registos pendentes foram obtidos com êxito do backlog. CASE_IDS é o número de IDs dos registos apresentados. |
|
Erro | O número de IDs de alertas ou registos pendentes obtidos da base de dados é superior ao limite (1000). Os IDs que excedam o limite são ignorados. Este erro pode indicar uma possível corrupção da base de dados. |
|
Informações | Os IDs de alertas ou registos atualizados foram obtidos com êxito a partir da plataforma. |
|
Informações | A atualização de registos e alertas na instância do SIEM do Google SecOps começou. |
|
Erro | Não é possível sincronizar o registo ou o alerta especificado com o SIEM do Google SecOps. |
|
Informações | O alerta ou o registo pendente especificado atingiu o limite de novas tentativas de sincronização (5) e não é reinserido na lista de pendências. |
|
Informações | A lista de IDs de registos ou alertas que não podem ser sincronizados com o SIEM do Google SecOps. |
Updated External Case IDs for the following cases:
CASE_IDS |
Informações | A lista de registos para os quais a tarefa atualizou o ID do registo externo do SIEM do Google SecOps na plataforma SOAR do Google SecOps. |
Failed to update external ids. |
Erro | A entrada de registo que indica que houve um problema com o método do SDK ou a ligação que impediu a atualização dos IDs dos registos externos na plataforma. |
|
Erro | A entrada de registo que indica que ocorreu um determinado erro de terminação que impediu que o ciclo de processamento de casos ou alertas terminasse naturalmente. A stacktrace é impressa após este registo com o erro específico. |
|
Informações | O ciclo de processamento de registos e alertas terminou, de forma natural ou com um erro. |
|
Erro | A lista de IDs de registos ou alertas com falhas que têm uma contagem de novas tentativas inferior ou igual a 5 a serem reescritos no backlog. |
|
Informações | A fase de processamento do registo e do alerta foi concluída. |
Saving timestamps. |
Informações | Guardar as datas/horas da última atualização bem-sucedida do registo e do alerta na base de dados. |
Saving pending ids. |
Informações | Guardar IDs de registos e alertas pendentes na base de dados. |
Got exception on main handler. Error:
ERROR_REASON |
Erro | Ocorreu um erro de encerramento geral. A stacktrace é impressa após este registo com o erro específico. |
Tarefa de criador de alertas do Google Chronicle
A tarefa Google Chronicle Alerts Creator requer a versão 6.2.30 ou posterior da plataforma Google SecOps.
Esta tarefa cria todos os alertas do SOAR do Google SecOps para o SIEM do Google SecOps, incluindo alertas de overflow. A tarefa Google Chronicle Alerts Creator não replica alertas originados no Google SecOps.
A tarefa Google Chronicle Alerts Creator consulta a plataforma SOAR através do SDK do Python para alertas não sincronizados. A tarefa envia alertas não sincronizados para o SIEM individualmente. O SIEM atualiza e devolve os identificadores dos alertas do SIEM correspondentes, e o SOAR guarda os identificadores através da API da plataforma SOAR através do SDK Python.
Relação entre as tarefas do Google Chronicle
Um sistema Google SecOps completo executa os seguintes três componentes em simultâneo:
- Chronicle Alerts Connector
- Tarefa Google Chronicle Sync Data
- Tarefa Google Chronicle Alerts Creator
A tarefa Google Chronicle Sync Data cria e sincroniza registos. Também sincroniza as modificações de registos e alertas, como alterações de prioridade.
A tarefa Google Chronicle Alerts Creator gera todos os alertas, exceto os alertas do SIEM. A tarefa Google Chronicle Sync Data envia atualizações sobre alertas não sincronizados após a tarefa Google Chronicle Alerts Creator criar os alertas.
Sincronização de dados de casos e alertas
Os registos são sincronizados da mesma forma que com a tarefa de dados do Google Chronicle Sync.
No Google SecOps SIEM, cada alerta é identificado com um identificador de alerta do SIEM. Os alertas SOAR podem adotar um identificador SIEM em dois cenários:
O alerta é gerado no SIEM.
Este alerta já existe no SIEM do Google SecOps e não é necessário duplicá-lo. O conetor preenche o campo
siem_alert_id.O alerta é gerado em conetores de terceiros.
Este alerta não existe no SIEM do Google SecOps e requer a execução de uma operação de sincronização explícita da qual a tarefa Google Chronicle Alerts Creator é responsável. Após a conclusão da operação de sincronização, o alerta adquire um novo identificador do SIEM.
Configure a tarefa do criador de alertas do Google Chronicle
Certifique-se de que concluiu os passos pré-requisitos antes de configurar a tarefa.
Para configurar a tarefa Google Chronicle Alerts Creator, siga estes passos:
Configure os parâmetros da tarefa na tabela seguinte:
Parâmetro Descrição EnvironmentObrigatório.
O nome do ambiente criado no Google SecOps SOAR onde quer sincronizar registos e alertas.
API RootObrigatório.
A raiz da API da instância do SIEM do Google SecOps.
O Google SecOps fornece pontos finais regionais para cada API.
Por exemplo,
https://europe-backstory.googleapis.comouhttps://asia-southeast1-backstory.googleapis.com.Se não souber que ponto final usar, [contacte o apoio técnico do Google Cloud](/chronicle/docs/getting-support).
O valor predefinido é
https://backstory.googleapis.com.User's Service AccountObrigatório.
O conteúdo do ficheiro JSON da conta de serviço da sua instância do Google SecOps SIEM.
Verify SSLObrigatório.
Se selecionada, a integração valida o certificado SSL quando se liga ao servidor SIEM do Google SecOps.
Ativada por predefinição.
Para concluir a configuração, clique em Guardar.
Se o botão Guardar estiver inativo, certifique-se de que definiu todos os parâmetros obrigatórios.
Opcional: para executar a tarefa imediatamente após guardar, clique em Executar agora.
A opção Executar agora permite-lhe acionar uma única execução de tarefa que sincroniza os dados atuais de alertas e registos do Google SecOps SOAR com o Google SecOps SIEM.
Mensagens de registo e processamento de erros
| Registo | Nível | Descrição |
|---|---|---|
|
ERRO | A conta de serviço fornecida no parâmetro da conta de serviço do utilizador está danificada. |
|
ERRO | A versão atual da instância da plataforma Google SecOps não suporta a execução do script do trabalho do criador de alertas do Google Chronicle. Este erro significa que a versão de compilação da instância é anterior à 6.2.30. |
|
ERRO | Não é possível validar a conta de serviço ou os valores raiz da API na instância do SIEM do Google SecOps. Este erro é comunicado se o teste de conetividade falhar. |
|
INFORMAÇÕES | Mensagem de registo que indica que a tarefa foi iniciada. |
|
INFORMAÇÕES | Mensagem de registo que indica que a função principal foi iniciada. |
|
INFORMAÇÕES | Mensagem de registo que indica o número de iteração da tentativa consecutiva atual. |
|
INFORMAÇÕES | Mensagem de registo que indica que o código não obtém mais de BATCH_SIZE novos alertas do SOAR. |
|
INFORMAÇÕES | Mensagem de registo que indica que foram obtidos alertas de NUMBER_OF_NEW_ALERTS SOAR. |
|
INFORMAÇÕES | Mensagem de registo que indica que não foram encontrados novos alertas de SOAR e que a tarefa está a ser interrompida. |
|
INFORMAÇÕES | Mensagem de registo que indica que a tarefa obteve os alertas SOAR com os seguintes identificadores na lista de IDs. Pode usar estas informações para acompanhar o progresso da tarefa e resolver problemas com o código. |
|
INFORMAÇÕES | Mensagem de registo que indica que a tarefa está a enviar alertas SOAR para o SIEM. |
|
ERRO | Mensagem de registo que indica que o alerta não foi criado com êxito no SIEM devido a um erro. |
|
INFORMAÇÕES | Mensagem de registo que indica que a tarefa está a atualizar o SOAR com a resposta do SIEM. |
|
AVISO | Indica que o SOAR não conseguiu atualizar o estado da sincronização de alertas. |
|
INFORMAÇÕES | Mensagem de registo que indica que foram sincronizados um total de total_synced alertas na execução atual. |
|
INFORMAÇÕES | Mensagem de registo que indica que a tarefa foi concluída. |
|
ERRO | Mensagem de registo que indica que ocorreu uma exceção na função principal. A mensagem de exceção está incluída na mensagem de registo. |
Exemplos de utilização
A integração do Google Chronicle permite-lhe executar os seguintes exemplos de utilização:
- Investigação e resposta a ameaças do Windows no Chronicle
- Security Command Center e Chronicle Cloud DIR
Instale o exemplo de utilização
No Google SecOps Marketplace, aceda ao separador Exemplos de utilização.
Num campo de pesquisa, introduza o nome do exemplo de utilização.
Clique no exemplo de utilização.
Siga os passos de configuração e as instruções no assistente de instalação.
Quando terminar, todos os componentes necessários são instalados na sua máquina do Google SecOps. Para finalizar a instalação, configure o bloco de inicialização no manual de procedimentos que corresponde ao seu exemplo de utilização.
Chronicle Windows Threats Investigation & Response
Use o poder do Google SecOps para responder em tempo real a ameaças do Windows no seu ambiente. Ao usar o Threat Intelligence para o Google SecOps, as equipas de segurança podem tirar partido de um serviço de informações sobre ameaças de alta fidelidade juntamente com o Google SecOps. As ameaças reais no seu ambiente podem agora ser triadas e corrigidas automaticamente num período curto e eficaz.
No Google SecOps, aceda a Resposta > Playbooks.
Selecione o manual de procedimentos Google Chronicle - Windows Threats Investigation & Response. O manual de estratégias é aberto na vista de criação do manual de estratégias.
Clique duas vezes em Set Initialization Block_1. É aberta a caixa de diálogo de configuração de bloqueio.
Para configurar o manual de estratégias, use os seguintes parâmetros:
Parâmetro de entrada Valores possíveis Descrição edr_product- CrowdStrike
- Carbon Black
- Nenhum
O produto EDR a usar no manual de estratégias. itsm_product- Serviço agora
- Jira
- ZenDesk
- Nenhum
O produto ITSM a usar no manual de procedimentos. O Jira requer uma configuração adicional no bloco Abrir pedido. crowdstrike_use_spotlightTrueouFalseSe True, o manual de procedimentos executa ações do Crowdstrike que requerem uma licença do Spotlight (informações de vulnerabilidade).use_mandiantTrueouFalseSe True, o guia interativo executa o bloqueio da Mandiant.slack_userNome de utilizador ou endereço de email O nome de utilizador ou o endereço de email do utilizador do Slack. Se não for fornecido nenhum, o playbook ignora os blocos do Slack. Clique em Guardar. A caixa de diálogo de configuração do bloqueio é fechada.
No painel do criador de manuais de vendas, clique em Guardar.
Para testar o manual de soluções no exemplo de utilização, carregue o exemplo de teste incluído no pacote. Algumas capacidades de casos de teste podem falhar porque os dados usados para testes estão indisponíveis no seu ambiente.
Security Command Center e Chronicle Cloud DIR
Integre o Security Command Center com o SIEM do Google SecOps para permitir que os seus analistas investiguem incidentes e ameaças que o Security Command Center deteta.
Configure o exemplo de utilização
O caso de utilização requer que configure as seguintes integrações:
- Siemplify
- Ferramentas
- Mitre ATT&CK
- Google Cloud IAM
- Google Chronicle
- Funções
- Google Cloud Compute
- Email V2
- VirusTotal v3
As integrações do Google Security Command Center e do Mandiant são opcionais.
Certifique-se de que instalou o exemplo de utilização antes de o configurar.
- No Google SecOps, aceda ao separador Playbooks.
- Selecione o manual SCC e DIR do Chronicle Cloud.
- Clique duas vezes no bloco de inicialização para o configurar.
- Configure o manual de soluções através dos seguintes parâmetros:
| Nome do parâmetro | Valores possíveis | Descrição |
|---|---|---|
Mandiant_Enrichment |
True ou False |
Se A integração do Mandiant tem de ser configurada para esta configuração. Pode remover o enriquecimento se raramente receber informações significativas. A remoção do bloco de enriquecimento melhora a velocidade de execução do manual de procedimentos. |
SCC_Enrichment |
True ou False |
Se A integração do Security Command Center tem de estar configurada para esta configuração. Pode remover o enriquecimento se raramente receber informações significativas. A remoção do bloco de enriquecimento melhora a velocidade de execução do livro de jogadas. |
IAM_Enrichment |
True ou False |
Se True, o manual usa as capacidades de IAM para enriquecimento adicional. Pode remover o enriquecimento se raramente
receber informações significativas. A remoção do bloco de enriquecimento melhora a velocidade de execução do livro de jogadas. |
Compute_Enrichment |
True ou False |
Se True, o guia interativo usa capacidades do Compute Engine
para enriquecimento adicional. Pode remover o enriquecimento se
raramente receber informações significativas. A remoção do bloco de enriquecimento melhora a velocidade de execução do livro de jogadas. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.