将 Google Chronicle 与 Google SecOps 集成
本文档介绍了如何将 Google Chronicle 与 Google Security Operations (Google SecOps) 集成。
集成版本:64.0
使用场景
Google Chronicle 集成可满足以下使用场景:
自动进行钓鱼式攻击调查和补救:利用 Google SecOps SOAR 功能自动查询历史电子邮件数据、用户活动日志和威胁情报,以评估电子邮件的合法性。自动补救功能可防止恶意软件或数据泄露蔓延,从而帮助您进行问题排查和遏制。
安全提醒的丰富:使用 Google SecOps SOAR 功能,通过历史背景信息(例如以往的用户行为和资产信息)来丰富在 SIEM 中生成的提醒。这可为分析师提供全面的突发事件视图,从而更快地做出更明智的决策。
基于 Google SecOps 洞见的威胁搜寻:使用 Google SecOps SOAR 功能自动执行以下流程:查询其他安全工具以查找相关的入侵指标 (IOC)。这有助于您在潜在的数据泄露升级之前主动发现它们。
自动突发事件响应 playbook:使用 Google SecOps SOAR 功能触发预定义的 playbook,这些 playbook 使用 Google SecOps 数据来隔离遭入侵的系统、屏蔽恶意 IP 地址并通知相关利益相关者。 这有助于缩短突发事件响应时间,并最大限度地降低安全突发事件的影响。
合规性报告和审核:使用 Google SecOps SOAR 功能自动从 Google SecOps 收集安全数据以生成合规性报告,从而简化审核流程并减少手动工作。
准备工作
在 Google SecOps 中配置 Google Chronicle 集成之前,请确保您具备以下条件:
Google Cloud 项目:对有效Google Cloud 项目的访问权限。
权限:您在Google Cloud 项目中创建和管理服务账号及 IAM 政策所需的 Identity and Access Management (IAM) 角色。
配置集成
配置步骤取决于您的 Google SecOps 部署类型:
统一 SecOps 部署:如果您的 Google SecOps 实例属于统一 SecOps 部署(与 Google Security Operations SIEM 集成),则集成通常会利用由 Google管理的默认服务账号。在这种情况下,您无需上传服务账号 JSON 密钥或手动配置 Workload Identity。所需权限可以是预配置的,也可以是从宿主环境继承的。
独立 SOAR 部署:如果您的 Google SecOps 实例是独立 SOAR 部署(未与 Google Security Operations SIEM 集成),您必须使用以下方法之一手动配置身份验证:
服务账号 JSON 密钥文件
工作负载身份联合
使用服务账号 JSON 密钥进行身份验证
服务账号 JSON 密钥的身份验证过程在 Chronicle API 和 Backstory API 之间有所不同。
Chronicle API 身份验证(推荐)
如需使用 Chronicle API,您必须在Google Cloud 项目中创建服务账号。
在 Google Cloud 控制台中,依次前往 IAM 和管理 > 服务账号。
选择创建服务账号,然后按照提示创建所需的服务账号。
选择新服务账号的电子邮件地址,然后依次前往密钥 > 添加密钥 > 创建新密钥。
选择
JSON作为密钥类型,然后点击创建。JSON 密钥文件将下载到您的计算机上。在权限 > 管理访问权限中,将所需的 Google SecOps 特定 IAM 角色分配给服务账号。
Backstory API 身份验证
如需使用 Backstory API,您必须拥有服务账号。管理员必须为您创建此账号。
与 Google SecOps 支持团队联系,并申请 Backstory API 的服务账号。提供 SOAR 部署所需的详细信息。
Google SecOps 支持团队会为您提供服务账号的 JSON 密钥文件。
在集成配置中使用提供的密钥。
使用 Workload Identity 进行身份验证(推荐)
对于独立 SOAR 部署,建议使用 Workload Identity 这种更安全的身份验证方法。它通过启用短期有效的联合凭据,让您无需管理长期有效的服务账号密钥。
如需使用 Workload Identity 设置身份验证,请按以下步骤操作:
创建工作负载身份池和提供方:
在 Google Cloud 控制台中,前往 IAM 和管理 > 工作负载身份联合。
按照提示创建工作负载身份池,然后创建信任 Google SecOps 作为外部身份的工作负载身份池提供方。
您可以配置提供方,以使用 OpenID Connect (OIDC) 将 Google SecOps 信任为外部身份来源。
-
在 Google Cloud 控制台中,依次前往 IAM 和管理 > 服务账号。
在您的 Google Cloud 项目中创建专用服务账号。此账号将由外部工作负载 (Google SecOps) 模拟。
向服务账号授予权限:
向服务账号分配所需的 Google SecOps 专用 IAM 角色(例如 Chronicle Viewer、Chronicle Security Operations Editor)。
向您创建的工作负载身份池提供方授予
Service Account Token Creator角色。此权限允许提供方模拟此服务账号。
配置信任关系:
在工作负载身份池提供方与服务账号之间建立信任关系。这会将外部身份(代表 Google SecOps)与 Google Cloud 服务账号相关联。
配置集成参数:
在集成配置对话框中,于 Workload Identity 电子邮件地址字段中输入服务账号的电子邮件地址。
如需有关设置 Workload Identity 联合的更详细说明,请参阅Google Cloud Workload Identity。
集成参数
Google Chronicle 集成需要以下参数:
| 参数 | 说明 |
|---|---|
UI Root |
必填。 Google SecOps SIEM 接口的基本网址。 此字段用于从支持工单记录自动生成指向 SIEM 平台的直接链接。 默认值为 |
API Root |
必填。 Google SecOps SIEM 实例的 API 根。该值取决于您的身份验证方法:
如果为 API 根使用了错误的凭据,会导致连接失败。 |
User's Service Account |
可选。 服务账号 JSON 密钥文件的完整内容。 如果未设置此参数和 |
Workload Identity Email |
可选。 工作负载身份联合的客户端电子邮件地址。 此参数的优先级高于 如需使用工作负载身份联合,您必须向服务账号授予 |
Verify SSL |
必填。 如果选中此复选框,则集成在连接到 Google SecOps SIEM 服务器时会验证 SSL 证书。 默认处于启用状态。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行手动操作。
向数据表添加行
使用 Add Rows To Data Table 操作可向 Google SecOps 中的数据表添加行。
此操作不适用于 Google SecOps 实体。
操作输入
如需配置操作,请使用以下参数:
| 参数 | 说明 |
|---|---|
Data Table Name |
必填。 要更新的数据表的显示名称。 |
Rows |
必填。 一个 JSON 对象列表,包含有关要添加的行的信息。 例如:
{
"columnName1": "value1",
"columnName2": "value2"
}
|
操作输出
向数据表格添加行操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “案例墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| 实体数据洞见 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了“向数据表添加行”操作返回的 JSON 结果示例:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
}
}
输出消息
向数据表格添加行操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully added rows to the data table
DATA_TABLE_NAME in
Google SecOps. |
操作成功。 |
Error executing action "Add Rows to Data Table". Reason:
ERROR_REASON |
操作失败。
检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用向数据表添加行操作时,脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
向参考列表添加值
使用 Add Values To Reference List 操作可将值添加到 Google SecOps 中的参考列表。
此操作不适用于 Google SecOps 实体。
操作输入
如需配置操作,请使用以下参数:
| 参数 | 说明 |
|---|---|
Reference List Name |
必填。 要更新的参考列表的名称。 |
Values |
必填。 要添加到参考列表中的值(以英文逗号分隔)。 |
操作输出
向参考列表添加值操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求”表格 | 不可用 |
| 丰富化表 | 不可用 |
| 实体数据洞见 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用 Backstory API 的 Add Value To Reference List 操作时收到的 JSON 结果输出:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
以下示例介绍了使用 Chronicle API 的向参考列表添加值操作时收到的 JSON 结果输出:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_NAME",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
输出消息
向参考列表添加值操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully added values to the reference list
REFERENCE_LIST_NAME. |
操作成功。 |
Error executing action "Add Values To Reference List". Reason:
ERROR_REASON |
操作失败。
检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用向参考列表添加值操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
问问 Gemini
使用 Ask Gemini 操作向 Google SecOps 中的 Gemini 发送文本提示。
此操作不适用于 Google SecOps 实体。
操作输入
如需配置操作,请使用以下参数:
| 参数 | 说明 |
|---|---|
Automatic Opt-in |
可选。 如果选择此项,该 playbook 会自动让用户选择加入 Gemini 对话,而无需手动确认。 默认处于启用状态。 |
Prompt |
必填。 要发送给 Gemini 的初始文本提示或问题。 |
操作输出
向 Gemini 提问操作会提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求”表格 | 不可用 |
| 丰富化表 | 不可用 |
| 实体数据洞见 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用 向 Gemini 提问操作时收到的 JSON 结果输出:
{
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/users/me/conversations/db3b0fc2-94f8-42ae-b743-c3693f593269/messages/b58e3186-e697-4400-9da8-8ef252a20bd9",
"input": {
"body": "Is IP 159.138.84.217 malicious? What can you tell me about it?"
},
"responses": [
{
"blocks": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<p>The IP address 159.138.84.217 is associated with malware and threat actors.</p>\n<ul>\n<li>It is an IPv4 indicator.</li>\n<li>It is associated with BEACON malware.</li>\n<li>It is categorized as malware-Backdoor.</li>\n<li>It has a low confidence, high severity threat rating.</li>\n<li>VirusTotal's IP Address Report indicates the network for this IP is 159.138.80.0/20, and the IP is associated with HUAWEI CLOUDS in Singapore.</li>\n<li>VirusTotal's last analysis on April 22, 2025, showed 8 malicious detections out of 94 sources.</li>\n</ul>\n<p>I might have more details for a question with more context (e.g., what is the source of the IP, what type of network traffic is associated with the IP).</p>\n"
}
}
],
"references": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<ol>\n<li><a href=\"https://advantage.mandiant.com/indicator/ipv4/159.138.84.217\" target=\"_blank\">Mandiant - indicator - 159.138.84.217</a></li>\n</ol>\n"
}
}
],
"groundings": [
"IP address 159.138.84.217 malicious cybersecurity",
"IP address 159.138.84.217 threat intelligence"
]
}
],
"createTime": "2025-05-16T11:31:36.660538Z"
}
}
输出消息
问问 Gemini 操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully executed a prompt in Google SecOps. |
操作成功。 |
Error executing action "GoogleChronicle - Ask Gemini".
Reason: ERROR_REASON |
操作失败。
检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Ask Gemini 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
丰富网域 - 已弃用
使用 Enrich Domain 操作,通过 Google SecOps SIEM 中 IoC 的信息来丰富网域。
此操作可在以下 Google SecOps 实体上运行:
URLHostname
操作输入
丰富网域操作需要以下参数:
| 参数 | 说明 |
|---|---|
Create Insight |
如果选择此项,操作将创建包含实体相关信息的分析洞见。 默认处于启用状态。 |
Only Suspicious Insight |
如果选择此项,操作将仅为标记为可疑的实体创建数据洞见。 默认情况下未启用。 如果您选择此参数,则还必须选择 |
Lowest Suspicious Severity |
必填。 将网域标记为可疑所需的最低严重程度。 默认值为
|
Mark Suspicious N/A Severity |
必填。 如果选中此项,但严重程度信息不可用,则该操作会将相应实体标记为可疑。 |
操作输出
丰富网域操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 可用 |
| 实体数据分析 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
丰富网域操作提供以下表格:
名称:ENTITY_IDENTIFIER
列:
- 来源
- 严重级别
- 类别
- 置信度
实体丰富化
丰富网域操作支持以下实体丰富逻辑:
| 扩充项字段 | 逻辑(应用场景) |
|---|---|
severity |
以 JSON 格式提供时 |
average_confidence |
以 JSON 格式提供时 |
related_domains |
以 JSON 格式提供时 |
categories |
以 JSON 格式提供时 |
sources |
以 JSON 格式提供时 |
first_seen |
以 JSON 格式提供时 |
last_seen |
以 JSON 格式提供时 |
report_link |
以 JSON 格式提供时 |
JSON 结果
以下示例描述了使用 Backstory API 的 Enrich Domain 操作时收到的 JSON 结果输出:
{
{
"sources": [
{
"source": "ET Intelligence Rep List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
以下示例描述了使用 Chronicle API 的丰富网域操作时收到的 JSON 结果输出:
[
{
"Entity": "example.com",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
},
{
"category": "Phishing",
"firstActiveTime": null,
"lastActiveTime": "2020-11-27T14:31:37Z",
"addresses": [
{
"domain": "example.com"
},
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "high",
"confidenceScore": {
"strRawConfidenceScore": "high"
}
},
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
},
{
"metadata": {
"title": "ESET Threat Intelligence",
"description": "ESET Threat Intelligence"
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Phishing",
"activeTimerange": {
"end": "2020-11-27T14:31:37Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "High",
"rawSeverity": "High"
}
]
},
{
"metadata": {
"title": "Mandiant Active Breach Intelligence",
"description": "Mandiant Active Breach IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
}
]
}
}
]
输出消息
丰富网域操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully enriched the following domain in Google Chronicle:
LIST_OF_IDS |
操作成功。 |
Error executing action "Enrich Domain". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Enrich Domain 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
丰富实体
使用丰富实体操作可向 Google SecOps 查询指定实体类型的其他上下文和属性。此操作通过集成外部情报来增强威胁调查数据。
此操作可在以下 Google SecOps 实体上运行:
DomainFile HashHostnameIP AddressURL(从网址中提取网域)UserEmail(包含电子邮件地址正则表达式的用户实体)
操作输入
丰富实体操作需要以下参数:
| 参数 | 说明 |
|---|---|
Namespace |
可选。 要扩充的实体的逻辑分组或范围。 如果未选择,则扩充功能会应用于默认命名空间或所有可访问命名空间中的实体。 实体必须属于此命名空间才能进行处理。 |
Time Frame |
可选。 相对时间范围(例如 此参数的优先级高于 |
Start Time |
可选。 丰富化时段的开始时间,采用 ISO 8601 格式。 如果未设置 |
End Time |
可选。 丰富时段的绝对结束时间,采用 ISO 8601 格式。 如果未设置 |
操作输出
丰富实体操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
| 扩充项字段 | 来源(JSON 键) | 适用性 |
|---|---|---|
GoogleSecOps_related_entities |
related_entities的数量 | 当 JSON 结果中提供相应信息时。 |
GoogleSecOps_alert_count_ruleName |
{alertCounts.count},表示每条具体规则 | 当 JSON 结果中提供相应信息时。 |
GoogleSecOps_first_seen |
metric.firstSeen |
当 JSON 结果中提供相应信息时。 |
GoogleSecOps_last_seen |
metric.lastSeen |
当 JSON 结果中提供相应信息时。 |
GoogleSecOps_flattened_key_under_entity |
键的值,从 "entity" 对象下的嵌套结构中扁平化而来。 |
当 JSON 结果中提供相应信息时。 |
JSON 结果
以下示例展示了使用丰富实体操作时收到的 JSON 结果输出:
[
{
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"domain": {
"name": "markossolomon.com",
"firstSeenTime": "1970-01-01T00:00:00Z",
"lastSeenTime": "1970-01-01T00:00:00Z",
"registrar": "NameCheap, Inc.",
"creationTime": "2013-12-06T02:41:09Z",
"updateTime": "2019-11-06T11:48:33Z",
"expirationTime": "2020-12-06T02:41:09Z",
"registrant": {
"userDisplayName": "WhoisGuard Protected",
"emailAddresses": [
"58d09cb5035042e9920408f8bafd0869.protect@whoisguard.com"
],
"personalAddress": { "countryOrRegion": "PANAMA" },
"companyName": "WhoisGuard, Inc."
}
}
}
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "npatni-sysops",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "npatni-sysops" }
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "329" },
{ "rule": "rule_testbucket", "count": "339" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "332" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 1000 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "exlab2019-ad",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "exlab2019-ad" }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.30.202.229",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "ip": ["172.30.202.229"] }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.17.0.1",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": { "namespace": "Yuriy", "asset": { "ip": ["172.17.0.1"] } },
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
}
},
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "911d039e71583a07320b32bde22f8e22",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"file": {
"sha256": "bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527",
"md5": "911d039e71583a07320b32bde22f8e22",
"sha1": "ded8fd7f36417f66eb6ada10e0c0d7c0022986e9",
"size": "278528",
"fileType": "FILE_TYPE_PE_EXE",
"names": [
"C:\\Windows\\System32\\cmd.exe",
"cmd",
"Cmd.Exe",
"C:\\Windows\\system32\\cmd.exe",
"C:\\Windows\\SYSTEM32\\cmd.exe",
"cmd.exe",
"C:\\\\Windows\\\\System32\\\\cmd.exe",
"C:\\windows\\SYSTEM32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\wjxpour4.d0f\\cmd.exe",
"c:\\Windows\\System32\\cmd.exe",
"Utilman.exe",
"c:\\windows\\system32\\cmd.exe",
"System32/cmd.exe",
"UtilityVM/Files/Windows/System32/cmd.exe",
"KerishDoctor/Data/KerishDoctor/Restore/cmd.rst",
"cmd.exe_",
"C:\\WINDOWS\\SYSTEM32\\cmd.exe",
"Cmd.exe",
"Windows/System32/cmd.exe",
"sethc.exe",
"C:\\WINDOWS\\System32\\cmd.exe",
"esRzqurX.exe",
"rofl.png",
"F:\\Windows\\SYSTEM32\\cmd.exe",
"utilman.exe",
"C:\\Windows\\system32\\CMD.exe",
"sys32exe/cmd.exe",
"cmd.txt",
"C:\\WINDOWS\\system32\\cmd.exe",
"cmd2.exe",
"Utilman.exe.sc",
"uhrHRIv8.exe",
"C:\\windows\\system32\\cmd.exe",
"submitted_file",
"C:\\Users\\user\\AppData\\Local\\Temp\\n1qo0bq3.2tn\\KerishDoctor\\Data\\KerishDoctor\\Restore\\cmd.rst",
"J6ff7z0hLYo.exe",
"N:\\Windows\\System32\\cmd.exe",
"Q:\\Windows\\System32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\cmd.exe",
"C:\\Users\\<USER>\\AppData\\Local\\Temp\\cmd.exe",
"test.exe",
"68E2F01F8DE9EFCAE9C0DD893DF0E8C34E2B5C98A6C4073C9C9E8093743D318600.blob",
"8FCVE0Kq.exe",
"cmd (7).exe",
"cmd (8).exe",
"21455_16499564_bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527_cmd.exe",
"LinX v0.9.11 (Intel)/cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\inbvmkaa.1xd\\LinX v0.9.11 (Intel)\\cmd.exe",
"cmd_b.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\sfd5bhoe.nqi\\cmd.exe",
"cMd.exe",
"Repl_Check.bat__",
"cmd.pdf",
"cmd.EXE",
"C:\\Users\\user\\AppData\\Local\\Temp\\uszjr42t.kda\\cmd.exe",
"LFepc1St.exe",
"firefox.exe",
"3BcnNlWV.exe",
"Utilman.exebak",
"utilman1.exe",
"1.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\ispvscgp.ep2\\sys32exe\\cmd.exe",
"cmd_1771019736291028992.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\xijgwqvd.54g\\cmd.exe",
"Sethc.exe",
"\\Device\\CdRom1\\DANFE352023067616112\\DANFE352023067616112.EXE",
"DANFE352023067616112.exe",
"file.exe",
"DANFE352023067616112/DANFE352023067616112.exe",
"C:\\Windows\\SYSTEM32\\Cmd.exe",
"pippo.exe",
"C:\\Windows\\System32\\sethc.exe",
"cmd.exe-bws024-windowsfolder",
"whatever.exe",
"sethc.exe.bak",
"S71dbOR1.exe",
"F:\\windows\\SYSTEM32\\cmd.exe",
"L6puhWL7.exe",
"DANFE357986551413927.exe",
"DANFE357666506667634.exe",
"\\Device\\CdRom1\\DANFE357666506667634\\DANFE357666506667634.EXE",
"\\Device\\CdRom1\\DANFE357986551413927\\DANFE357986551413927.EXE",
"\\Device\\CdRom1\\DANFE358567378531506\\DANFE358567378531506.EXE",
"\\Device\\CdRom1\\HtmlFactura3f48daa069f0e42253194ca7b51e7481DPCYKJ4Ojk\\HTMLFACTURA3F48DAA069F0E42253194CA7B51E7481DPCYKJ4OJK.EXE",
"\\Device\\CdRom1\\DANFE357410790837014\\DANFE357410790837014.EXE",
"\\Device\\CdRom1\\DANFE357702036539112\\DANFE357702036539112.EXE",
"winlogon.exe",
"AccessibilityEscalation.A' in file 'utilman.exe'",
"qpl9AqT0.exe",
"C:\\windows\\system32\\CMD.exe",
"C:\\po8az\\2po9hmc\\4v1b5.exe",
"batya.exe",
"nqAwJaba.exe",
"\\Device\\CdRom1\\DANFE356907191810758\\DANFE356907191810758.EXE",
"/Volumes/10_11_2023/DANFE356907191810758/DANFE356907191810758.exe",
"/Volumes/09_21_2023/DANFE357986551413927/DANFE357986551413927.exe",
"\\Device\\CdRom1\\DANFE355460800350113\\DANFE355460800350113.EXE",
"/Volumes/09_19_2023/DANFE355460800350113/DANFE355460800350113.exe",
"DANFE352429512050669.exe",
"/Volumes/04_15_2023/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3.exe"
],
"firstSeenTime": "2024-12-15T09:07:02Z",
"lastSeenTime": "2025-07-18T07:43:59.045Z",
"lastAnalysisTime": "2025-07-16T10:06:40Z",
"signatureInfo": {
"sigcheck": {
"verificationMessage": "Signed",
"verified": true,
"signers": [{ "name": "Microsoft Windows" }]
}
},
"firstSubmissionTime": "2025-07-15T16:30:27Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "329" },
{ "rule": "rule_testbucket", "count": "345" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "326" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{ "alertCount": 31 },
{ "alertCount": 111 },
{ "alertCount": 109 },
{ "alertCount": 82 },
{ "alertCount": 86 },
{ "alertCount": 98 },
{ "alertCount": 86 },
{ "alertCount": 85 },
{ "alertCount": 92 },
{ "alertCount": 89 },
{ "alertCount": 90 },
{ "alertCount": 41 }
],
"bucketSize": "172800s"
},
"prevalenceResult": [
{ "prevalenceTime": "2025-01-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-16T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-17T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-18T00:00:00Z", "count": 2 }
],
"relatedEntities": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiFQoGCPbso7wGEgsIv_bnwwYQwMq6FQ",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"hostname": "exlab2019-ad",
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIVCgYI9uyjvAYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"ip": ["172.30.202.229"],
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
}
]
}
},
{
"Entity": "tencent.com",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"domain": {
"name": "tencent.com",
"firstSeenTime": "2025-01-14T14:01:00Z",
"lastSeenTime": "2025-01-14T15:02:00Z",
"registrar": "MarkMonitor Information Technology (Shanghai) Co., Ltd.",
"creationTime": "1998-09-14T04:00:00Z",
"updateTime": "2024-08-20T08:04:01Z",
"expirationTime": "2032-09-13T04:00:00Z",
"registrant": {
"emailAddresses": [""],
"personalAddress": { "countryOrRegion": "CHINA" },
"companyName": "\u6df1\u5733\u5e02\u817e\u8baf\u8ba1\u7b97\u673a\u7cfb\u7edf\u6709\u9650\u516c\u53f8"
}
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "00:50:56:b6:34:86",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "mac": ["00:50:56:b6:34:86"] }
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
}
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
}
]
输出消息
丰富实体操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Enrich Entities 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
扩充 IP - 已弃用
使用 Enrich IP 操作,通过 Google SecOps SIEM 中 IoC 的信息来丰富 IP 实体。
此操作在“IP 地址”实体上运行。
操作输入
丰富 IP 操作需要以下参数:
| 参数 | 说明 |
|---|---|
Create Insight |
可选。 如果选择此项,操作会创建包含实体相关信息的分析洞见。默认处于启用状态。 |
Only Suspicious Insight |
可选。 如果选中此项,该操作将仅为标记为可疑的实体创建数据洞见。默认情况下未启用。 如果您选择此参数,则还必须选择 |
Lowest Suspicious Severity |
必填。 与 IP 地址关联的最低严重程度,用于将其标记为可疑。 默认值为
|
Mark Suspicious N/A Severity |
必填。 如果选中此项,但严重程度信息不可用,则该操作会将相应实体标记为可疑。 |
操作输出
丰富 IP 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
名称:ENTITY_IDENTIFIER
列:
- 来源
- 严重级别
- 类别
- 置信度
- 相关网域
实体丰富化
丰富 IP 操作支持以下实体丰富逻辑:
| 扩充项字段 | 逻辑(应用场景) |
|---|---|
severity |
以 JSON 格式提供时 |
average_confidence |
以 JSON 格式提供时 |
related_domains |
以 JSON 格式提供时 |
categories |
以 JSON 格式提供时 |
sources |
以 JSON 格式提供时 |
first_seen |
以 JSON 格式提供时 |
last_seen |
以 JSON 格式提供时 |
report_link |
以 JSON 格式提供时 |
JSON 结果
以下示例描述了使用 Backstory API 的 Enrich IP 操作时收到的 JSON 结果输出:
{
{
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
以下示例描述了使用 Chronicle API 的 Enrich IP 操作时收到的 JSON 结果输出:
[
{
"Entity": "192.0.2.121",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "low",
"confidenceScore": {
"strRawConfidenceScore": "67"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "67",
"rawSeverity": "Low"
}
]
}
]
}
}
]
输出消息
丰富 IP 操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully enriched the following IPs from Google Chronicle:
LIST_OF_IPS |
操作成功。 |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Enrich IP 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
执行 RetroHunt
使用 Execute Retrohunt 操作在 Google SecOps 中执行规则回溯分析。
此操作不适用于 Google SecOps 实体。
操作输入
执行回溯性搜索操作需要以下参数:
| 参数 | 说明 |
|---|---|
Rule ID |
必填。 要运行 RetroHunt 的规则的 ID。 对于规则的最新版本,请使用 |
Time Frame |
可选。 要检索结果的时间段。 可能的值如下:
如果选择 默认值为 |
Start Time |
结果的开始时间,采用 ISO 8601 格式。 如果 |
End Time |
结果的结束时间,采用 ISO 8601 格式。
如果您未设置值,并为 |
操作输出
执行回溯狩猎操作会提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| 实体数据分析 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用 Backstory API 的 Execute Retrohunt 操作时收到的 JSON 结果输出:
{
"retrohuntId": "oh_d738c8ea-8fd7-4cc1-b43d-25835b8e1785",
"ruleId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497",
"versionId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497@v_1612472807_179679000",
"eventStartTime": "2021-01-14T23:00:00Z",
"eventEndTime": "2021-01-30T23:00:00Z",
"retrohuntStartTime": "2021-02-08T02:40:59.192113Z",
"state": "RUNNING"
}
以下示例描述了使用 Chronicle API 的 Execute Retrohunt 操作时收到的 JSON 结果输出:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/RetrohuntMetadata",
"retrohunt": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID/retrohunts/RETROHUNT_ID",
"executionInterval": {
"startTime": "2025-01-22T12:16:20.963182Z",
"endTime": "2025-01-23T12:16:20.963182Z"
}
},
"retrohuntId": "RETROHUNT_ID",
"ruleId": "RULE_ID",
"versionId": "VERSION_ID",
"eventStartTime": "2025-01-22T12:16:20.963182Z",
"eventEndTime": "2025-01-23T12:16:20.963182Z"
}
输出消息
执行回溯性搜索操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully executed a retrohunt for the provided rule in Google
Chronicle.
|
操作成功。 |
Error executing action "Execute Retrohunt". Reason:
ERROR_REASON |
操作失败。
检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Execute Retrohunt 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
执行 UDM 查询
使用 Execute UDM Query 操作在 Google SecOps 中执行自定义 UDM 查询。
此操作不适用于 Google SecOps 实体。
操作输入
执行 UDM 查询操作需要以下参数:
| 参数 | 说明 |
|---|---|
Query String |
必填。 要在 Google SecOps 中执行的查询。 |
Time Frame |
可选。 要检索结果的时间段。 可能的值如下:
如果选择 默认值为 |
Start Time |
可选。 结果的开始时间,采用 ISO 8601 格式(例如 如果 时间范围不得超过 90 天。 |
End Time |
可选。 结果的结束时间,采用 ISO 8601 格式(例如 如果您未设置值,且 时间范围不得超过 90 天。 |
Max Results To Return |
可选。 单个查询要返回的结果数。 最大值为 默认值为 |
操作输出
执行 UDM 查询 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例描述了使用 Execute UDM Query 操作时收到的 JSON 结果输出:
{
"events":[
"event":{
"metadata":{
"eventTimestamp":"2022-01-20T09:15:15.687Z",
"eventType":"USER_LOGIN",
"vendorName":"Example Vendor",
"productName":"Example Product",
"ingestedTimestamp":"2022-01-20T09:45:07.433587Z"
},
"principal":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.0"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
],
"location":{
"city":"San Francisco",
"state":"California",
"countryOrRegion":"US"
},
"asset":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.1",
"203.0.113.1",
"203.0.113.1"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
]
}
},
"target":{
"user":{
"userid":"Example",
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-4712406912-7108061610-2717800068-993683",
"emailAddresses":[
"example@example.com",
"admin.example@example.com"
],
"employeeId":"2406187",
"productObjectId":"f93f1540-4935-4266-aa8e-a750a319aa1c",
"firstName":"Example",
"lastName":"User",
"phoneNumbers":[
"555-01-75"
],
"title":"Executive Assistant",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
],
"managers":[
{
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-6051382818-4135626959-8120238335-834071",
"emailAddresses":[
"user@example.com"
],
"employeeId":"5478500",
"productObjectId":"8b3924d5-6157-43b3-857b-78aa6bd94705",
"firstName":"User",
"lastName":"Example",
"phoneNumbers":[
"555-01-75"
],
"title":"Chief Technology Officer",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
]
}
]
},
"ip":[
"198.51.100.1"
],
"email":"email@example.com",
"application":"Example Sign In"
},
"securityResult":[
{
"summary":"Successful Login",
"action":[
"ALLOW"
]
}
],
"extensions":{
"auth":{
"type":"SSO"
}
}
},
"eventLogToken":"96f23eb9ffaa9f7e7b0e2ff5a0d2e34c,1,1642670115687000,USER,|USER_LOGIN"
]
}
输出消息
执行 UDM 查询操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Execute UDM Query". Reason:
ERROR_REASON
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
Error executing action "Execute UDM Query". Reason: you've reached a
rate limit. Please wait for several minutes and try again. |
操作失败。 等待几分钟,然后再运行该操作。 |
脚本结果
下表介绍了使用 Execute UDM Query 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取数据表格
使用 Get Data Tables 操作可检索 Google SecOps 中的可用数据表。
此操作不适用于 Google SecOps 实体。
操作输入
获取数据表操作需要以下参数:
| 参数 | 说明 |
|---|---|
Filter Key |
可选。 要过滤的键
可能的值如下: NameDescription |
Filter Logic |
可选。 要应用的过滤逻辑。 可能的值如下: Equal(适用于完全匹配)Contains(适用于子字符串匹配) |
Filter Value |
可选。 要在过滤条件中使用的值。 可能的值如下: Equal(适用于完全匹配)Contains(适用于子字符串匹配)
如果未提供任何内容,则不会应用过滤条件。 |
Expanded Rows |
可选。 如果选中,则响应会包含详细的数据表行。 默认情况下未启用。 |
Max Data Tables To Return |
必填。 要返回的数据表数量。 最大值为 |
Max Data Table Rows To Return |
必填。 要返回的数据表行数。 仅在启用 最大值为 |
操作输出
获取数据表操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用获取数据表操作时收到的 JSON 结果输出:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table",
"displayName": "data_table",
"createTime": "2025-05-14T12:52:50.064133Z",
"updateTime": "2025-05-14T13:13:48.631442Z",
"columnInfo": [
{
"originalColumn": "columnName1",
"columnType": "STRING"
},
{
"columnIndex": 1,
"originalColumn": "columnName2",
"columnType": "STRING"
},
{
"columnIndex": 2,
"originalColumn": "columnName3",
"columnType": "STRING"
}
],
"dataTableUuid": "c3cce57bb8d940d5ac4523c37d540436",
"approximateRowCount": "2",
"rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
输出消息
获取数据表操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully found data tables for the provided criteria in Google
SecOps |
操作成功。 |
Error executing action "Get Data Tables". Reason:
ERROR_REASON |
操作失败。
检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用获取数据表操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
获取检测详情
使用 Get Detection Details 操作可检索 Google SecOps 中有关检测的信息。
此操作不适用于 Google SecOps 实体。
操作输入
获取检测详情操作需要以下参数:
| 参数 | 说明 |
|---|---|
Rule ID |
必填。 与检测相关的规则的 ID。 对于规则的最新版本,请使用 |
Detection ID |
必填。 要获取详细信息的检测的 ID。 如果提供了特殊字符,操作不会失败,但会返回检测结果列表。 |
操作输出
获取检测详情操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例描述了使用获取检测详情操作时收到的 JSON 结果输出:
{
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "singleEventRule2",
"urlBackToProduct":
"https://INSTANCE/ruleDetections?
ruleId=ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d&selectedList=RuleDetectionsViewTimeline&
selectedParentDetectionId=de_ce594791-09ed-9681-27fa-3b7c8fa6054c&
selectedTimestamp=2020-12-03T16: 50: 47.647245Z","ruleId": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d",
"ruleVersion": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d@v_1605892822_687503000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT"
}
],
"createdTime": "2020-12-03T19:19:21.325134Z",
"id": "de_ce594791-09ed-9681-27fa-3b7c8fa6054c",
"timeWindow": {
"startTime": "2020-12-03T16:50:47.647245Z",
"endTime": "2020-12-03T16:50:47.647245Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2020-12-03T16:50:47.647245Z",
"collectedTimestamp": "2020-12-03T16:50:47.666064010Z",
"eventType": "NETWORK_DNS",
"productName": "ProductName",
"ingestedTimestamp": "2020-12-03T16:50:49.494542Z"
},
"principal": {
"ip": [
"192.0.2.1"
]
},
"target": {
"ip": [
"203.0.113.1"
]
},
"securityResult": [
{
"action": [
"UNKNOWN_ACTION"
]
}
],
"network": {
"applicationProtocol": "DNS",
"dns": {
"questions": [
{
"name": "example.com",
"type": 1,
"class": 1
}
],
"id": 12345,
"recursionDesired": true
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2020-12-03T16:50:47.647245Z"
}
输出消息
获取检测详情操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully fetched information about the detection with ID
DETECTION_ID in Google Chronicle. |
操作成功。 |
Error executing action "Get Detection Details". Reason:
ERROR_REASON |
操作失败。
检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Get Detection Details 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取参考列表
使用 Get Reference Lists 操作检索 Google SecOps 中可用的参考列表。
此操作不适用于 Google SecOps 实体。
操作输入
获取参考列表操作需要以下参数:
| 参数 | 说明 |
|---|---|
Filter Key |
要过滤的键。
可能的值如下:
|
Filter Logic |
要应用的过滤逻辑。 可能的值如下: Equal(适用于完全匹配)Contains(适用于子字符串匹配)默认值为 |
Filter Value |
要在过滤条件中使用的值。
可能的值如下: Equal(适用于完全匹配)Contains(适用于子字符串匹配)
如果未提供任何值,则不会应用过滤条件。 |
Expanded Details |
如果选中,该操作会返回有关参考列表的详细信息。
默认情况下未启用。 |
Max Reference Lists To Return |
要返回的参考列表的数量。
默认值为 |
操作输出
获取参考列表操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
在“案例墙”上,获取参考列表会提供下表:
名称:可用参考列表
列:
- 名称
- 说明
- 类型
JSON 结果
以下示例描述了使用 Backstory API 的 Get Reference Lists 操作时收到的 JSON 结果输出:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
以下示例描述了使用 Chronicle API 的获取参考列表操作时收到的 JSON 结果输出:
[
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_ID",
"displayName": "REFERENCE_LIST_ID",
"revisionCreateTime": "2025-01-09T15:53:10.851775Z",
"description": "Test reference list",
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-09T15:53:10.851775Z"
}
]
输出消息
获取参考列表操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action
ACTION_NAME. Reason:
ERROR_REASON
|
操作失败。
检查与服务器的连接、输入参数或凭据。 |
Error executing action
ACTION_NAME. Reason: "Invalid
value was provided for "Max Reference Lists to Return":
PROVIIDED_VALUE. Positive number should be provided. |
操作失败。
检查 |
脚本
下表介绍了使用 Get Reference Lists 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
获取规则详细信息
使用 Get Rule Details 操作可检索有关 Google SecOps 中规则的信息。
此操作不适用于 Google SecOps 实体。
操作输入
获取规则详情操作需要以下参数:
| 参数 | 说明 |
|---|---|
Rule ID |
必填。 要获取详细信息的规则 ID。 |
操作输出
获取规则详细信息操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例描述了使用 Backstory API 的获取规则详情操作时收到的 JSON 结果输出:
{
"ruleId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f",
"versionId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f@v_1602631093_146879000",
"ruleName": "SampleRule",
"metadata": {
"description": "Sample Description of the Rule",
"author": "author@example.com"
},
"ruleText": "rule SampleRule {
meta:
description = \"Sample Description of the Rule\"
author = \"author@example.com\"
events:
// This will just generate lots of detections
$event.metadata.event_type = \"NETWORK_HTTP\"
condition:
$event
} ",
"liveRuleEnabled": true,
"versionCreateTime": "2020-10-13T23:18:13.146879Z",
"compilationState": "SUCCEEDED"
}
以下示例描述了使用 Chronicle API 的 Get Rule Details 操作时收到的 JSON 结果输出:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID",
"revisionId": "v_1733917896_973567000",
"displayName": "Test_rule_SingleEvent",
"text": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"author": "example_user",
"metadata": {
"author": "example_user",
"description": "windowed single event example rule",
"severity": null
},
"createTime": "2024-12-11T11:36:18.192127Z",
"revisionCreateTime": "2024-12-11T11:51:36.973567Z",
"compilationState": "SUCCEEDED",
"type": "SINGLE_EVENT",
"allowedRunFrequencies": [
"LIVE",
"HOURLY",
"DAILY"
],
"etag": "CMj55boGEJjondAD",
"ruleId": "RULE_ID",
"versionId": "RULE_ID@v_1733917896_973567000",
"ruleName": "Test_rule_SingleEvent",
"ruleText": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"ruleType": "SINGLE_EVENT",
"versionCreateTime": "2024-12-11T11:51:36.973567Z"
}
输出消息
获取规则详情操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully fetched information about the rule with ID
RULE_ID in Google Chronicle.
|
操作成功。 |
Error executing action "Get Rule Details". Reason:
ERROR_REASON
|
操作失败。
检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用获取规则详情操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
Is Value In Data Table
使用 Is Value In Data Table 检查提供的值是否位于 Google SecOps 的数据表中。
此操作不适用于 Google SecOps 实体。
操作输入
“Is Value In Data Table”(值是否在数据表中)操作需要以下参数:
| 参数 | 说明 |
|---|---|
Data Table Name |
必填。 要搜索的数据表的显示名称。 |
Column |
可选。 要搜索的列的英文逗号分隔列表。 如果未提供值,该操作会搜索所有列。 |
Values |
必填。 以英文逗号分隔的要搜索的值的列表。 |
Case Insensitive Search |
可选。 如果选中,搜索不区分大小写。 默认处于启用状态。 |
Max Data Table Rows To Return |
必填。 每个匹配值要返回的数据表行数。 最大值为 |
操作输出
“值是否位于数据表中”操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “案例墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用 Is Value In Data Table 操作时收到的 JSON 结果输出:
[{
"Entity": "asda",
"EntityResult": {
"is_found": true,
"matched_rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
}]
输出消息
“Is Value In Data Table”操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully searched provided values in the data table {data table}
in Google SecOps.
|
操作成功。 |
| 执行操作“Is Value In Data Table”时出错。原因: ERROR_REASON | 操作失败。
检查与服务器的连接、输入参数或凭据。 |
Error executing action "Is Value In Data Table". Reason: the
following data tables were not found in:
DATA_TABLE_NAME:
COLUMN_NAMES. Please check the
spelling.
|
操作失败。 |
Error executing action "Is Value In Data Table". Reason:
This action is not supported for Backstory API configuration. Please update
the integration configuration.
|
操作失败。 |
脚本结果
下表介绍了使用 Is Value In Data Table 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
Is Value In Reference List
使用 Is Value In Reference List 操作检查所提供的值是否在 Google SecOps 的参考列表中。
此操作不适用于 Google SecOps 实体。
操作输入
Is Value In Reference List 操作需要以下参数:
| 参数 | 说明 |
|---|---|
Reference List Names |
必填。 要搜索的参考列表名称的英文逗号分隔列表。 |
Values |
必填。 以英文逗号分隔的要搜索的值的列表。 |
Case Insensitive Search |
可选。 如果选中,搜索不区分大小写。 |
操作输出
“值是否在参考列表中”操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用 Backstory API 的 Is Value In Reference List 操作时收到的 JSON 结果输出:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
以下示例描述了使用 Chronicle API 的 Is Value In Reference List 操作时收到的 JSON 结果输出:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
输出消息
“Is Value In Reference List”(值是否在参考列表中)操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully searched provided values in the reference lists in
Google Chronicle.
|
操作成功。 |
| 执行操作“Is Value In Reference List”时出错。原因: ERROR_REASON | 操作失败。
检查与服务器的连接、输入参数或凭据。 |
Error executing action "Is Value In Reference List". Reason: the
following reference lists were not found in Google Chronicle:
MISSING_REFERENCE_LIST_NAME(S).
Please use the action "Get Reference Lists" to see what reference lists are
available.
|
操作失败。 运行 Get Reference Lists 操作以检查是否有可用的列表。 |
脚本结果
下表介绍了使用 Is Value In Reference List 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
列出资产
使用 List Assets 操作可根据指定时间段内的相关实体列出 Google SecOps SIEM 中的资产。
此操作仅支持 MD5、SHA-1 和 SHA-256 哈希。
此操作可在以下 Google SecOps 实体上运行:
URLIP AddressHash
操作输入
列出媒体资源操作需要以下参数:
| 参数 | 说明 |
|---|---|
Max Hours Backwards |
要提取的资源的小时数(相对于当前时间)。
默认值为 |
Create Insight |
如果选择此项,该操作会创建包含实体相关信息的分析洞见。 默认处于启用状态。 |
Max Assets To Return |
要返回的资源数量。 默认值为 |
Time Frame |
可选。 要检索结果的时间段。 可能的值如下:
如果选择 默认值为 |
Start Time |
开始时间,采用 ISO 8601 格式。 如果 |
End Time |
采用 ISO 8601 格式表示的结束时间。
如果您未设置值,并将 |
操作输出
列出资产操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
名称:ENTITY_IDENTIFIER
列:
- 主机名
- IP 地址
- 首次发现的制品
- 上次看到的制品
JSON 结果
以下示例介绍了使用 Backstory API 的列出资产操作时收到的 JSON 结果输出:
{
"assets": [
{
"asset": {
"hostname": "example"
},
"firstSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-02-28T09:18:15.675Z"
},
"lastSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-09-24T06:43:59Z"
}
}
],
"uri": [
"https://INSTANCE/domainResults?domain=www.example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2020-09-27T12%3A07%3A34.166830443Z"
]
}
以下示例描述了使用 Chronicle API 的列出资产操作时收到的 JSON 结果输出:
[
{
"Entity": "192.0.2.229",
"EntityResult": {
"assets": [
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Open Source Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2024-09-20T14:14:07.843Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Open Source Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "OPEN_SOURCE_INTEL_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "ex ",
"valueType": "DOMAIN_NAME"
}
},
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Active Breach Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2023-07-05T02:42:52.935Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Active Breach Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "MANDIANT_ACTIVE_BREACH_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "example.com",
"valueType": "DOMAIN_NAME"
}
}
],
"uri": "https://INSTANCE.backstory.chronicle.security/destinationIpResults?ADDRESS=192.0.2.229&selectedList=IpViewDistinctAssets&referenceTime=2025-01-23T11%3A16%3A24.517449Z"
}
}
]
输出消息
列出资产操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully listed related assets for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
操作成功。 |
Error executing action "List Assets". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 List Assets 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
列出活动
使用 List Events 操作列出指定时间段内特定资产上的事件。
此操作只能检索 10,000 个事件。
此操作可在以下 Google SecOps 实体上运行:
IP addressMAC addressHostname
操作输入
列出活动操作需要以下参数:
| 参数 | 说明 |
|---|---|
Event Types |
以英文逗号分隔的事件类型列表。
如果未提供值,则系统会提取所有事件类型。 如需查看所有可能值的列表,请参阅事件类型可能的值。 |
Time Frame |
指定的时间段。我们建议您尽可能缩小此值,以获得更好的效果。
如果选择 如果选择 可能的值如下:
默认值为 |
Start Time |
开始时间,采用 ISO 8601 格式。 如果 |
End Time |
结束时间,采用 ISO 8601 格式。 如果未提供值,且 此参数接受 |
Reference Time |
活动搜索的参考时间。
如果未提供任何值,则操作会使用结束时间作为参考。 |
Output |
必填。 输出格式。 可能的值如下:
|
Max Events To Return |
要为每种实体类型处理的事件数量。 默认值为 |
事件类型可能的值
Event Type 参数的可能值如下:
EVENTTYPE_UNSPECIFIEDPROCESS_UNCATEGORIZEDPROCESS_LAUNCHPROCESS_INJECTIONPROCESS_PRIVILEGE_ESCALATIONPROCESS_TERMINATIONPROCESS_OPENPROCESS_MODULE_LOADREGISTRY_UNCATEGORIZEDREGISTRY_CREATIONREGISTRY_MODIFICATIONREGISTRY_DELETIONSETTING_UNCATEGORIZEDSETTING_CREATIONSETTING_MODIFICATIONSETTING_DELETIONMUTEX_UNCATEGORIZEDMUTEX_CREATIONFILE_UNCATEGORIZEDFILE_CREATIONFILE_DELETIONFILE_MODIFICATIONFILE_READFILE_COPYFILE_OPENFILE_MOVEFILE_SYNCUSER_UNCATEGORIZEDUSER_LOGINUSER_LOGOUTUSER_CREATIONUSER_CHANGE_PASSWORDUSER_CHANGE_PERMISSIONSUSER_STATSUSER_BADGE_INUSER_DELETIONUSER_RESOURCE_CREATIONUSER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_UPDATE_PERMISSIONSUSER_COMMUNICATIONUSER_RESOURCE_ACCESSUSER_RESOURCE_DELETIONGROUP_UNCATEGORIZEDGROUP_CREATIONGROUP_DELETIONGROUP_MODIFICATIONEMAIL_UNCATEGORIZEDEMAIL_TRANSACTIONEMAIL_URL_CLICKNETWORK_UNCATEGORIZEDNETWORK_FLOWNETWORK_CONNECTIONNETWORK_FTPNETWORK_DHCPNETWORK_DNSNETWORK_HTTPNETWORK_SMTPSTATUS_UNCATEGORIZEDSTATUS_HEARTBEATSTATUS_STARTUPSTATUS_SHUTDOWNSTATUS_UPDATESCAN_UNCATEGORIZEDSCAN_FILESCAN_PROCESS_BEHAVIORSSCAN_PROCESSSCAN_HOSTSCAN_VULN_HOSTSCAN_VULN_NETWORKSCAN_NETWORKSCHEDULED_TASK_UNCATEGORIZEDSCHEDULED_TASK_CREATIONSCHEDULED_TASK_DELETIONSCHEDULED_TASK_ENABLESCHEDULED_TASK_DISABLESCHEDULED_TASK_MODIFICATIONSYSTEM_AUDIT_LOG_UNCATEGORIZEDSYSTEM_AUDIT_LOG_WIPESERVICE_UNSPECIFIEDSERVICE_CREATIONSERVICE_DELETIONSERVICE_STARTSERVICE_STOPSERVICE_MODIFICATIONGENERIC_EVENTRESOURCE_CREATIONRESOURCE_DELETIONRESOURCE_PERMISSIONS_CHANGERESOURCE_READRESOURCE_WRITTENANALYST_UPDATE_VERDICTANALYST_UPDATE_REPUTATIONANALYST_UPDATE_SEVERITY_SCOREANALYST_UPDATE_STATUSANALYST_ADD_COMMENT
操作输出
列出活动操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用 List Events 操作时收到的 JSON 结果输出:
{
"statistics": {
"NETWORK_CONNECTION": 10
}
{
"events": [
{
"metadata": {
"eventTimestamp": "2020-09-28T14:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
},
{
"metadata": {
"eventTimestamp": "2020-09-28T17:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
}
],
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=user-example-pc&referenceTime=2020-09-28T17%3A00%3A00Z&selectedList=AssetViewTimeline&startTime=2020-09-28T14%3A20%3A00Z&endTime=2020-09-28T20%3A20%3A00Z"
]
}
}
输出消息
列出事件操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully listed related events for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
操作成功。 |
Error executing action "List Events". Reason:
ERROR_REASON
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
Error executing action "List Events". Reason: invalid event type
is provided. Please check the spelling. Supported event types:
SUPPORTED_EVENT_TYPES
|
操作失败。
检查拼写。 |
脚本结果
下表介绍了使用列出活动操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
列出 IOC
使用列出 IOC 操作列出企业内在指定时间范围内发现的所有 IOC。
此操作不适用于 Google SecOps 实体。
操作输入
列出 IOC 操作需要以下参数:
| 参数 | 说明 |
|---|---|
Start Time |
结果的开始时间,采用 ISO 8601 格式。 |
Max IoCs to Fetch |
要返回的 IOC 的最大数量。
范围为 默认值为 |
操作输出
列出 IOC 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
列:
- 网域
- 类别
- 来源
- 置信度
- 严重级别
- IoC 注入时间
- IoC 首次发现时间
- IoC 上次发现时间
- URI
JSON 结果
以下示例介绍了使用 List IOCs 操作时收到的 JSON 结果输出:
{
"matches":[
{
"artifact":{
"domainName":"www.example.com"
},
"firstSeenTime":"2018-05-25T20:47:11.048998Z",
"iocIngestTime":"2019-08-14T21:00:00Z",
"lastSeenTime":"2019-10-24T16:19:46.880830Z",
"sources":[
{
"category":"Spyware Reporting Server",
"confidenceScore":{
"intRawConfidenceScore":0,
"normalizedConfidenceScore":"Low"
},
"rawSeverity":"Medium",
"source":"Example List"
}
],
"uri":["URI"]
}
],
"moreDataAvailable":true
}
输出消息
列出 IOC 操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully listed IOCs from the provided timeframe in Google
Chronicle. |
操作成功。 |
Error executing action "List IOCs". Reason:
ERROR_REASON.
|
操作失败。
检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 List IOCs 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
查找类似提醒
使用 Lookup Similar Alerts 操作在 Google SecOps 中搜索类似提醒。
此操作仅适用于通过 Chronicle Alerts Connector 收到的 Google SecOps 提醒。
操作输入
查找类似提醒操作需要以下参数:
| 参数 | 说明 |
|---|---|
Time Frame |
结果的指定时间段。为获得最佳结果,请尽可能缩短时间范围。
可能的值如下:
|
IOCs / Assets |
必填。 以英文逗号分隔的 IoC 或资产列表,用于在提醒中查找相应内容。该操作会针对提供的每个项执行单独的搜索。 |
Similarity By |
用于查找类似提醒的属性。 可能的值如下:
默认值为 |
“相似度依据”参数的运作方式
Similarity By 参数对规则提醒和外部提醒的适用方式不同。
如果选择
Alert Name, Alert Type and Product或Alert Name, Alert Type:对于外部提醒,该操作会搜索具有相同名称的其他外部提醒。
对于规则提醒,该操作会处理源自同一规则的提醒。
如果选择
Product:- 该操作会处理源自同一产品的提醒,无论这些提醒是规则提醒还是外部提醒。
例如,源自 Crowdstrike 的提醒将仅与来自 Crowdstrike 的其他提醒匹配。
如果选择
Only IOCs/Assets:该操作会根据
IOCs/Assets参数中提供的 IOC 来匹配提醒。它会在规则提醒和外部提醒中搜索这些指示。只有在选择此选项后,IOC 提醒才能运行此操作。如果提供任何其他选项,则操作默认为
Only IOCs/Assets。
查找类似提醒操作是一种用于分析提醒的多功能工具。它使分析师能够关联同一时间段内的提醒,并提取相关的 IOC,以确定突发事件是否为真阳性。
操作输出
查找类似提醒操作会提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用查找类似提醒操作时收到的 JSON 结果输出:
{
"count": 123,
"distinct": [
{
"first_seen": "time of the first alert that matched our conditions",
"last_seen": "time of the last alert that matched our conditions",
"product_name": "product name",
"used_ioc_asset": "what user provided in the parameter IOCs and Assets",
"name": "Alert Name/Rule Name",
"hostnames": "csv list of unique hostnames that were found in alerts",
"urls": "csv list of unique urls that were found in alerts",
"ips": "csv list of unique ips that were found in alerts",
"subjects": "csv list of unique subjects that were found in alerts",
"users": "csv list of unique users that were found in alerts",
"email_addresses": "csv list of unique email_addresses that were found in alerts",
"hashes": "csv list of unique hashes that were found in alerts",
"processes": "csv list of unique processes that were found in alerts"
"rule_urls": ["Chronicle URL from API response for Rule"]
"count": 123
}
],
"processed_alerts": 10000,
"run_time": "how long it took to run the action or at least API request",
"EXTERNAL_url": "Chronicle URL from API response for EXTERNAL"
}
输出消息
查找类似提醒操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Lookup Similar Alerts". Reason:
ERROR_REASON
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
Error executing action "Lookup Similar Alerts". Reason: all of the
retries are exhausted. Please wait for a minute and try again.
|
操作失败。 等待 1 分钟,然后再次运行该操作。 |
脚本结果
下表介绍了使用查找类似提醒操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
“支持请求墙”表格
表格名称:IOC/ASSET_IDENTIFIER
表列:
- 产品
- 主机名
- IP
- 用户
- 电子邮件地址
- 主题
- 网址
- 哈希值
- 进程
- 首次出现时间
- 上次定位
- 提醒名称
- 常规
案例墙链接
查找类似提醒操作可以返回以下链接:
- CBN:GENERATED_LINK_BASED_ON_IU_ROOT_URL
- 规则:GENERATED_LINK_BASED_ON_IU_ROOT_URL
Ping
使用 Ping 操作测试与 Google SecOps 的连接。
此操作不适用于 Google SecOps 实体。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
Ping 操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully connected to the Google Chronicle backstory with the
provided connection parameters! |
操作成功。 |
Failed to connect to the Google Chronicle backstory. Error is
ERROR_REASON
|
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
从数据表中移除行
使用 Remove Rows From Data Table 操作从 Google SecOps 中的数据表中移除行。
此操作不适用于 Google SecOps 实体。
操作输入
从数据表中移除行操作需要以下参数:
| 参数 | 说明 |
|---|---|
Data Table Name |
必填。 要更新的数据表的显示名称。 |
Rows |
必填。 用于搜索和删除行的 JSON 对象列表。 应仅包含有效列。 默认值为: |
操作输出
从数据表中移除行操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用从数据表中移除行操作时收到的 JSON 结果输出:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
输出消息
从数据表中移除行操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully removed rows from the data table
DATA_TABLE_NAME in
Google SecOps.
|
操作成功。 |
Error executing action "Remove Rows From Data Table". Reason:
ERROR_REASON
|
操作失败。
检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用从数据表中移除行操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
从参考列表中移除值
使用 Remove Values From Reference List 操作从 Google SecOps 中的参考列表中移除值。
此操作不适用于 Google SecOps 实体。
操作输入
从参考列表中移除值操作需要以下参数:
| 参数 | 说明 |
|---|---|
Reference List Name |
必填。 要更新的参考列表的名称。 |
Values |
必填。 要从参考列表中移除的值的逗号分隔列表。 |
操作输出
从参考列表中移除值操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用 Backstory API 的从参考列表中移除值操作时收到的 JSON 结果输出:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
以下示例描述了使用 Chronicle API 的从参考列表中移除值操作时收到的 JSON 结果输出:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/<var class="readonly">REFERENCE_LIST_NAME</var>' }}",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
输出消息
从参考列表中移除值操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully removed values from the reference list.
|
操作成功。 |
Error executing action "Remove Values From Reference List". Reason:
ERROR_REASON
|
操作失败。
检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用从参考列表中移除值操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
连接器
如需详细了解如何在 Google SecOps 中配置连接器,请参阅注入数据(连接器)。
Google Chronicle - Chronicle Alerts 连接器
使用 Google Chronicle - Chronicle Alerts Connector 从 Google SecOps SIEM 中提取有关基于规则的提醒的信息。
可以使用动态列表过滤此连接器。
概览
Google Chronicle - Chronicle Alerts Connector 可从 Google SecOps SIEM 提取多种类型的提醒。
主要功能和操作细节包括:
它会查询一周内的数据。
为防止因索引延迟而错过提醒,您可以配置填充期并增加连接器超时时间,但过长的填充期可能会对性能产生负面影响。
该连接器利用动态列表实现灵活的配置。
它为缺少严重程度值的提醒提供
Fallback Severity。如需注入 IoC,必须在 Google SecOps SIEM 中创建相应的检测规则,以便根据 IoC 生成提醒。
动态列表过滤条件
动态列表用于直接从连接器配置页面过滤提醒。
运算符逻辑
动态列表使用 AND 和 OR 逻辑的组合来处理过滤规则:
OR 逻辑:同一行中以英文逗号分隔的值会按 OR 逻辑处理(例如,
Rule.severity = low,medium表示low或medium严重程度)。AND 逻辑:动态列表中的每一行都采用 AND 逻辑(例如,一行是
Rule.severity,一行是Rule.ruleName,表示severityANDruleName)。支持的运算符(
=、!=、>、<、>=、<=)因过滤键而异。
以下是使用运算符规则的示例:
- Rule.severity = medium:连接器仅接收中等严重程度的规则提醒。
- Rule.severity = low,medium:连接器仅接收严重程度为中或低的规则提醒。
- Rule.ruleName = default_rule:连接器仅提取名称为
default_rule的规则提醒。
支持的过滤条件
Chronicle Alerts 连接器支持按以下键进行过滤:
| 过滤键 | 响应键 | 运算符 | 可能的值 |
|---|---|---|---|
Rule.severity |
detection、ruleLabels 或 severity |
=、!=、>、<、>=、<= |
这些值不区分大小写。 |
Rule.ruleName |
detection 或 ruleName |
=,!= |
由用户定义。 |
Rule.ruleID |
detection 或 ruleId |
=,!= |
由用户定义。 |
Rule.ruleLabels.{key} |
detection 或 ruleLabels |
=,!= |
由用户定义。 |
处理 ruleLabels
如需按规则中的特定标签进行过滤,请使用 Rule.ruleLabels.{key} 格式。
例如,如需按键为 type、值为 suspicious_behaviour 的标签进行过滤,动态列表输入应为:
Rule.ruleLabels.type=suspicious_behaviour
连接器输入
Chronicle Alerts Connector 需要以下参数:
默认值为 Medium。
| 参数 | 说明 |
|---|---|
Product Field Name |
必填。 存储商品名称的字段的名称。 商品名称主要会影响映射。为了简化和改进连接器的映射流程,默认值会解析为代码中引用的回退值。默认情况下,此参数的任何无效输入都会解析为回退值。 默认值为 |
Event Field Name |
必填。 用于确定事件名称(子类型)的字段的名称。 |
Environment Field Name |
可选。 存储环境名称的字段的名称。 如果缺少环境字段,连接器将使用默认值。 默认值为 |
Environment Regex Pattern |
可选。 要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Script Timeout (Seconds) |
必填。 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 |
API Root |
必填。 Google SecOps SIEM 实例的 API 根。 Google SecOps 为每个 API 提供区域性端点,例如 请与 Cloud Customer Care 团队联系,了解应使用哪个端点。 默认值为 |
User's Service Account |
必填。 用于身份验证的服务账号的完整 JSON 内容。 |
Fallback Severity |
必填。 如果 Google SecOps SIEM 发出的提醒不包含严重程度值,则要使用的默认严重程度。 可能的值如下:
|
Max Hours Backwards |
可选。 在首次运行连接器之前,要检索事件的小时数。 此参数仅适用一次。 最大值为 默认值为 |
Max Alerts To Fetch |
可选。 每次连接器迭代要处理的提醒数量。 默认值为 |
Disable Event Splitting |
可选。 如果选择此选项,连接器不会将原始事件拆分为多个部分,从而确保来源和 Google SecOps SOAR 之间的事件数量一致。 默认情况下未启用。 |
Verify SSL |
必填。 如果选中此复选框,则集成在连接到 Google SecOps SIEM 服务器时会验证 SSL 证书。 默认处于启用状态。 |
Proxy Server Address |
可选。 要使用的代理服务器的地址。 |
Proxy Username |
可选。 用于进行身份验证的代理用户名。 |
Proxy Password |
可选。 用于进行身份验证的代理密码。 |
Disable Overflow |
可选。 如果选中此选项,连接器会忽略 Google SecOps 溢出机制。 默认情况下未启用。 |
连接器规则
Google Chronicle - Chronicle Alerts 连接器支持代理。
连接器事件
Google Chronicle - Chronicle Alerts Connector 可处理来自 Google SecOps SIEM 的三种类型的事件。
基于规则的提醒
此事件类型由 Google SecOps SIEM 中的检测规则生成。
{
"alert_type": "RULE",
"event_type": "NETWORK_DHCP",
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "d3_test",
"urlBackToProduct": "https://INSTANCE/ruleDetections?ruleId=ru_74dd17e2-5aad-4053-acd7-958bead014f2&selectedList=RuleDetectionsViewTimeline&selectedParentDetectionId=de_b5dadaf4-b398-325f-9f09-833b71b3ffbb&selectedTimestamp=2022-02-08T05:02:36Z&versionTimestamp=2020-11-19T18:19:11.951951Z",
"ruleId": "ru_74dd17e2-5aad-4053-acd7-958bead014f2",
"ruleVersion": "ru_74dd17e2-5aad-4053-acd7-958bead014f2@v_1605809951_951951000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT",
"ruleLabels": [
{
"key": "author",
"value": "analyst123"
},
{
"key": "description",
"value": "8:00 AM local time"
},
{
"key": "severity",
"value": "Medium"
}
]
}
],
"createdTime": "2022-02-08T06:07:33.944951Z",
"id": "de_b5dadaf4-b398-325f-9f09-833b71b3ffbb",
"timeWindow": {
"startTime": "2022-02-08T05:02:36Z",
"endTime": "2022-02-08T05:02:36Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2022-02-08T05:02:36Z",
"eventType": "NETWORK_DHCP",
"productName": "Infoblox DHCP",
"ingestedTimestamp": "2022-02-08T05:03:03.892234Z"
},
"principal": {
"ip": [
"198.51.100.255",
"198.51.100.1"
],
"mac": [
"01:23:45:ab:cd:ef"
],
"email_address": [
"example@example.com"
]
},
"target": {
"hostname": "dhcp_server",
"ip": [
"198.51.100.0",
"198.51.100.1"
]
},
"network": {
"applicationProtocol": "DHCP",
"dhcp": {
"opcode": "BOOTREQUEST",
"ciaddr": "198.51.100.255",
"giaddr": "198.51.100.0",
"chaddr": "01:23:45:ab:cd:ef",
"type": "REQUEST",
"clientHostname": "example-user-pc",
"clientIdentifier": "AFm/LDfjAw=="
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2022-02-08T05:02:36Z"
}
外部提醒
此事件类型基于提取到 Google SecOps SIEM 中的外部提醒。
{
"alert_type": "External",
"event_type": "GENERIC_EVENT",
"name": "Authentication failure [32038]",
"sourceProduct": "Internal Alert",
"severity": "Medium",
"timestamp": "2020-09-30T18:03:34.898194Z",
"rawLog": "U2VwIDMwIDE4OjAzOjM0Ljg5ODE5NCAxMC4wLjI5LjEwOSBBdXRoZW50aWNhdGlvbiBmYWlsdXJlIFszMjAzOF0=",
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=198.51.100.109&namespace=[untagged]&referenceTime=2020-09-30T18%3A03%3A34.898194Z&selectedList=AssetViewTimeline&startTime=2020-09-30T17%3A58%3A34.898194Z&endTime=2020-09-30T18%3A08%3A34.898194Z&selectedAlert=-610875602&selectedEventTimestamp=2020-09-30T18%3A03%3A34.898194Z"
],
"event": {
"metadata": {
"eventTimestamp": "2020-09-30T18:03:34.898194Z",
"eventType": "GENERIC_EVENT",
"productName": "Chronicle Internal",
"ingestedTimestamp": "2020-09-30T18:03:34.991592Z"
},
"target": [
{
"ip": [
"198.51.100.255",
"198.51.100.1"
]
}
],
"securityResult": [
{
"summary": "Authentication failure [32038]",
"severityDetails": "Medium"
}
]
}
}
IoC 提醒
此事件类型与预定义的 IoC 列表相匹配。
{
"alert_type": "IOC",
"event_type": "IOC Alert",
"artifact": {
"domainName": "example.com"
},
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2020-09-07T11:00:00Z",
"firstSeenTime": "2018-10-03T00:01:59Z",
"lastSeenTime": "2022-02-04T20:02:29.191Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-08T15%3A08%3A52.434022777Z"
]
}
提醒结构
下表介绍了 Google Chronicle - Chronicle Alerts Connector 如何在 Google SecOps 中填充提醒的属性。为清楚起见,提醒属性按其来源和提醒类型分组。
内部生成的属性
这些属性由框架生成,并且在所有提醒类型中保持一致。
| 提醒属性名称 | 来源 |
|---|---|
SourceSystemName |
由框架内部生成。 |
TicketId |
该值取自 ids.json 文件。 |
DisplayId |
自动生成。 |
所有提醒类型的属性
这些属性派生自源提醒,但其源键因提醒类型而异。
| 提醒属性名称 | 来源 |
|---|---|
Priority |
取自 API 响应或 Fallback Severity 参数。 |
DeviceVendor |
硬编码值为 Google Chronicle。 |
DeviceProduct |
一个硬编码的值,取决于提醒类型:规则检测提醒为 RULE,IOC 匹配为 IOC,外部提醒为 EXTERNAL。 |
Description |
对于基于规则的提醒,此信息源自 detection/ruleLabels/description(如果存在)。不适用于其他提醒类型。 |
Reason |
不可用。 |
SourceGroupingIdentifier |
不可用。 |
Chronicle Alert - Attachments |
不可用。 |
特定提醒类型
这些属性特定于提醒的来源,因此更容易了解每个属性是如何填充的。
| 提醒属性名称 | 基于规则的提醒 | 基于 IOC 的提醒 | 外部提醒 |
|---|---|---|---|
Name |
detection/ruleName |
IOC Alert(硬编码) |
alertInfos/name |
RuleGenerator |
detection/ruleName |
IOC Alert(硬编码) |
alertInfos/name |
StartTime 和 EndTime |
timeWindow 或 startTime |
lastSeenTime |
timestamp |
Chronicle Alert - Extensions |
rule_id (ruleId)、product_name(事件或元数据的 CSV 或 productName 值) |
不适用 | alert_name (name)、product_name(UDM 事件或元数据的 CSV 文件,或 productName 值) |
已弃用:Google Chronicle - Alerts Connector
此连接器会从 Google SecOps SIEM 中提取资产提醒,并将其转换为 Google SecOps SIEM 提醒。
您可以使用 google.oauth2.service_account 和 AuthorizedSession 通过 Google 库进行身份验证。
此连接器需要 Google SecOps SIEM Search API。
连接器输入
| 参数 | 说明 |
|---|---|
Product Field Name |
必填。
存储商品名称的字段的名称。 商品名称主要会影响映射。为了简化和改进连接器的映射流程,默认值会解析为代码中引用的回退值。默认情况下,此参数的任何无效输入都会解析为回退值。 默认值为 |
Environment Field Name |
可选。 存储环境名称的字段的名称。 如果缺少环境字段,连接器将使用默认值。 默认值为 |
Environment Regex Pattern |
可选。 要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Script Timeout (Seconds) |
必填。 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 |
Service Account Credentials |
必填。 服务账号 JSON 文件的内容。 |
Fetch Max Hours Backwards |
可选。 在首次运行连接器之前,要检索事件的小时数。 此参数仅适用一次。 最大值为 默认值为 |
已弃用:Google Chronicle - IoCs Connector
请改用 Chronicle Alerts Connector。
此连接器从 Google SecOps SIEM 中提取 IOC 网域匹配项,并将其转换为 Google SecOps SIEM 提醒。
您可以使用 google.oauth2.service_account 和 AuthorizedSession 通过 Google 库进行身份验证。
此连接器使用 Google SecOps SIEM Search API。
连接器输入
Google Chronicle - IoCs Connector 需要以下参数:
| 参数 | 说明 |
|---|---|
Product Field Name |
必填。
存储商品名称的字段的名称。 商品名称主要会影响映射。为了简化和改进连接器的映射流程,默认值会解析为代码中引用的回退值。默认情况下,此参数的任何无效输入都会解析为回退值。 默认值为 |
Environment Field Name |
可选。 存储环境名称的字段的名称。 如果缺少环境字段,连接器将使用默认值。 默认值为 |
Environment Regex Pattern |
可选。 要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Script Timeout (Seconds) |
必填。 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 |
Service Account Credentials |
必填。 服务账号 JSON 文件的内容。 |
Fetch Max Hours Backwards |
可选。 在首次运行连接器之前,要检索多少小时前的提醒。 此参数仅适用一次。 最大值为 默认值为 |
Max Alerts To Fetch |
可选。 每次连接器迭代中要处理的提醒的最大数量。 默认值为 |
| 已跟踪的字段 | 同步字段 |
|---|---|
Priority |
Priority |
Status |
Status |
Title |
Title |
| 不适用 | Stage |
| 不适用 | Google SecOps Case ID |
| 不适用 | Google SecOps Case ID |
Google SecOps 案例 ID 是 Google SecOps SOAR 和 Google SecOps SIEM 中的唯一案例标识符。
Google Chronicle 同步数据作业会跟踪并同步以下提醒字段:
| 已跟踪的字段 | 同步字段 |
|---|---|
Priority |
Priority |
Status |
Status |
Case ID |
不适用 |
| 不适用 | Google SecOps Alert ID |
| 不适用 | Google SecOps Case ID |
| 不适用 | Verdict |
| 不适用 | Closure Comment |
| 不适用 | Closure Reason |
| 不适用 | Closure Root Cause |
| 不适用 | Usefulness |
Google SecOps 提醒 ID 是 Google SecOps SOAR 中的唯一提醒标识符。
在一次迭代中,该作业最多可同步 1,000 个支持请求和 1,000 个提醒。同步会在作业配置中指定的 Google SecOps SOAR 环境中进行。同步机制可确保指定环境中的测试用例无法与其他环境同步。
配置 Google Chronicle 同步数据作业
此作业仅同步从 Google SecOps SIEM 提取的 Google SecOps SOAR 案例。
在配置作业之前,请确保您已完成前提步骤。
如需配置 Google Chronicle 同步数据作业,请按以下步骤操作:
在参数部分中,配置以下参数:
参数 说明 Environment必填。
在 Google SecOps SOAR 中创建的环境的名称,您希望将案例和提醒同步到该环境。
API Root必填。
Google SecOps SIEM 实例的 API 根。
Google SecOps 为每个 API 提供区域级端点。
例如,
https://europe-backstory.googleapis.com或https://asia-southeast1-backstory.googleapis.com。如果您不知道要使用哪个端点,请 [与 Cloud Customer Care 联系](/chronicle/docs/getting-support)。
默认值为
https://backstory.googleapis.com。User's Service Account必填。
Google SecOps SIEM 实例的服务账号 JSON 文件的内容。
Max Hours Backwards可选。
提取提醒的小时数。只能使用正数。如果您输入 0 或负数,系统会报告错误。如果此参数为空,作业将使用默认值。
默认值为
24。Verify SSL必填。
如果选中此复选框,Google SecOps 会验证用于连接到 Google SecOps SIEM 服务器的 SSL 证书是否有效。我们建议您选择此选项。
此选项将会默认选中。
Google Chronicle 同步数据作业默认处于启用状态。保存配置正确的作业后,系统会立即开始与 Google SecOps SIEM 同步数据。如需停用作业,请切换作业名称旁边的开关。
如需完成配置,请点击保存。
如果保存按钮处于非活动状态,请确保您已设置所有必需参数。
可选:如需在保存后立即运行作业,请点击立即运行。
借助立即运行选项,您可以触发一次作业运行,将当前的 Google SecOps SOAR 提醒和事件数据与 Google SecOps SIEM 同步。
日志消息
下表列出了 Google Chronicle Data Sync 作业的可能日志消息:
| 日志条目 | 类型 | 说明 |
|---|---|---|
Unable to parse credentials as JSON. Please validate creds.
|
错误 | User's Service Account 参数中提供的服务账号已损坏。 |
"Max Hours Backwards" parameter must be a positive number. |
错误 | Max Hours backwards 参数设置为 0 或负数。 |
Current platform version does not support SDK methods designed for
Google SecOps. Please use version 6.1.33 or higher. |
错误 | 当前 Google SecOps 平台实例版本不支持 Chronicle 同步数据作业脚本执行。这意味着,实例的 build 版本低于 6.1.33。 |
Unable to connect to Google SecOps, please validate
your credentials: CREDENTIALS |
错误 | 无法针对 Google SecOps SIEM 实例验证服务账号或 API 根值。如果连接测试失败,系统会报告此错误。 |
--- Start Processing Updated Cases --- |
信息 | 问题处理循环已开始运行。 |
Last success time. Date time:DATE_AND_TIME.
Unix:UNIX_EPOCH_TIME
|
信息 | 对于支持案例或提醒,上次成功执行脚本的时间戳:
|
Key: "DATABASE_KEY" does not exist in the
database. Returning default
value instead: DEFAULT_VALUE |
信息 | 待处理的支持请求或提醒数据库键在数据库中不存在。 此日志条目始终显示在脚本的首次执行中。 |
Failed to parse data as JSON. Returning default value instead:
"DEFAULT_VALUE. ERROR:
ERROR |
错误 | 从数据库检索到的值不是有效的 JSON 格式。 |
Exception was raised from the database. ERROR:
ERROR. |
错误 | 数据库连接存在问题。 |
|
信息 | 已成功从积压中检索到待处理的支持请求或提醒 ID。 CASE_IDS 是带来的病例 ID 数量。 |
|
错误 | 从数据库中提取的待处理支持请求或提醒 ID 的数量超过了限制 (1000)。超出限制的任何 ID 都会被忽略。 此错误可能表示数据库已损坏。 |
|
信息 | 已成功从平台提取新更新的支持请求或提醒 ID。 |
|
信息 | Google SecOps SIEM 实例中的案例和提醒已开始更新。 |
|
错误 | 指定的支持请求或提醒无法与 Google SecOps SIEM 同步。 |
|
信息 | 指定的待处理情形或提醒已达到同步重试次数上限 (5),不会再插入到待办项中。 |
|
信息 | 无法与 Google SecOps SIEM 同步的支持请求或提醒 ID 的列表。 |
Updated External Case IDs for the following cases:
CASE_IDS |
信息 | 作业在 Google SecOps SOAR 平台中更新了匹配的 Google SecOps SIEM 外部支持服务工单 ID 的支持服务工单列表。 |
Failed to update external ids. |
错误 | 日志条目,指示 SDK 方法或连接存在问题,导致无法在平台中更新外部支持请求 ID。 |
|
错误 | 日志条目,用于指示存在某种终止错误,导致问题或提醒处理循环无法自然完成。此日志之后会打印包含具体错误的堆栈轨迹。 |
|
信息 | 案例和提醒处理循环已完成,无论是自然完成还是因错误而完成。 |
|
错误 | 要写回积压的重试次数小于或等于 5 的失败支持请求或提醒 ID 的列表。 |
|
信息 | 处理支持请求和提醒的阶段已完成。 |
Saving timestamps. |
信息 | 将上次成功更新的支持请求和提醒的时间戳保存到数据库中。 |
Saving pending ids. |
信息 | 将待处理的支持请求和提醒 ID 保存到数据库。 |
Got exception on main handler. Error:
ERROR_REASON |
错误 | 发生了常规终止错误。此日志之后会打印出包含具体错误的堆栈轨迹。 |
Google Chronicle Alerts Creator 作业
Google Chronicle Alerts Creator 作业需要使用 Google SecOps 平台 6.2.30 版或更高版本。
此作业会创建从 Google SecOps SOAR 到 Google SecOps SIEM 的所有提醒,包括溢出提醒。Google Chronicle Alerts Creator 作业不会复制源自 Google SecOps 的提醒。
Google Chronicle Alerts Creator 作业使用 Python SDK 查询 SOAR 平台,以获取未同步的提醒。作业会单独向 SIEM 发送非同步提醒。SIEM 会更新并返回相应 SIEM 提醒的标识符,而 SOAR 会通过 Python SDK 使用 SOAR 平台 API 保存这些标识符。
Google Chronicle 作业之间的关系
完整的 Google SecOps 系统会同时运行以下三个组件:
- Chronicle Alerts Connector
- Google Chronicle Sync Data 作业
- Google Chronicle Alerts Creator 作业
Google Chronicle 同步数据作业会创建和同步支持请求。它还会同步支持请求和提醒的修改,例如优先级变更。
Google Chronicle Alerts Creator 作业会生成所有提醒,但 SIEM 提醒除外。Google Chronicle Sync Data 作业会在 Google Chronicle Alerts Creator 作业创建提醒后,发送有关未同步提醒的更新。
支持请求和提醒数据同步
案例的同步方式与 Google Chronicle Sync Data 作业相同。
在 Google SecOps SIEM 中,每个提醒都通过 SIEM 提醒标识符进行标识。在以下两种情况下,SOAR 提醒可以采用 SIEM 标识符:
在 SIEM 中生成了提醒。
此提醒已存在于 Google SecOps SIEM 中,无需重复创建。连接器会填充
siem_alert_id字段。在第三方连接器中生成提醒。
此提醒在 Google SecOps SIEM 中不存在,需要运行显式同步操作,而 Google Chronicle Alerts Creator 作业负责执行此操作。完成同步操作后,相应提醒会获得新的 SIEM 标识符。
配置 Google Chronicle Alerts Creator 作业
在配置作业之前,请确保您已完成前提步骤。
如需配置 Google Chronicle Alerts Creator 作业,请按以下步骤操作:
配置下表中的作业参数:
参数 说明 Environment必填。
在 Google SecOps SOAR 中创建的环境的名称,您希望将案例和提醒同步到该环境。
API Root必填。
Google SecOps SIEM 实例的 API 根。
Google SecOps 为每个 API 提供区域级端点。
例如,
https://europe-backstory.googleapis.com或https://asia-southeast1-backstory.googleapis.com。如果您不知道要使用哪个端点,请 [与 Cloud Customer Care 联系](/chronicle/docs/getting-support)。
默认值为
https://backstory.googleapis.com。User's Service Account必填。
Google SecOps SIEM 实例的服务账号 JSON 文件的内容。
Verify SSL必填。
如果选中此复选框,Google SecOps 会验证用于连接到 Google SecOps SIEM 服务器的 SSL 证书是否有效。我们建议您选择此选项。
此选项将会默认选中。
如需完成配置,请点击保存。
如果保存按钮处于非活动状态,请确保您已设置所有必需参数。
可选:如需在保存后立即运行作业,请点击立即运行。
借助立即运行选项,您可以触发一次作业运行,将当前的 Google SecOps SOAR 提醒和事件数据与 Google SecOps SIEM 同步。
日志消息和错误处理
| 日志 | 级别 | 说明 |
|---|---|---|
|
错误 | “User's Service Account”参数中提供的服务账号已损坏。 |
|
错误 | 当前 Google SecOps 平台实例版本不支持执行 Google Chronicle Alerts Creator 作业脚本。此错误表示实例 build 版本低于 6.2.30。 |
|
错误 | 无法针对 Google SecOps SIEM 实例验证服务账号或 API 根值。如果连接测试失败,系统会报告此错误。 |
|
信息 | 指示作业已开始的日志消息。 |
|
信息 | 指示主函数已启动的日志消息。 |
|
信息 | 日志消息,用于指示当前连续尝试的迭代次数。 |
|
信息 | 日志消息,用于指示代码不会从 SOAR 中检索超过 BATCH_SIZE 个新提醒。 |
|
信息 | 日志消息,表明已提取 NUMBER_OF_NEW_ALERTS SOAR 提醒。 |
|
信息 | 日志消息,表明未找到新的 SOAR 提醒,并且作业正在停止。 |
|
信息 | 日志消息,指示作业已提取 ID 列表中具有以下标识符的 SOAR 提醒。您可以使用此信息来跟踪作业的进度,并排查代码方面的问题。 |
|
信息 | 日志消息,指示作业正在向 SIEM 调度 SOAR 提醒。 |
|
错误 | 日志消息,表明由于出现错误,未在 SIEM 中成功创建提醒。 |
|
信息 | 日志消息,指示作业正在使用 SIEM 响应更新 SOAR。 |
|
警告 | 表示 SOAR 无法更新提醒同步的状态。 |
|
信息 | 日志消息,指示在当前运行中同步了总共 total_synced 个提醒。 |
|
信息 | 指示作业已完成的日志消息。 |
|
错误 | 日志消息,指示主函数中发生了异常。 异常消息包含在日志消息中。 |
使用场景
Google Chronicle 集成可让您实现以下使用场景:
- Chronicle Windows 威胁调查和响应
- Security Command Center 和 Chronicle Cloud DIR
安装用例
在 Google SecOps Marketplace 中,前往应用场景标签页。
在搜索字段中,输入使用情形名称。
点击相应用例。
按照安装向导中的配置步骤和说明操作。
完成后,所有必需的组件都会安装在您的 Google SecOps 机器上。如需完成安装,请在与您的使用场景对应的 playbook 中配置初始化代码块。
Chronicle Windows 威胁调查和响应
利用 Google SecOps 的强大功能,实时应对环境中的 Windows 威胁。借助 Threat Intelligence for Google SecOps,安全团队可以同时使用高保真威胁情报服务和 Google SecOps。现在,系统可以自动对您环境中的实际威胁进行分级,并在短时间内有效解决这些威胁。
在 Google SecOps 中,前往响应 > Playbook。
选择 Google Chronicle - Windows 威胁调查与响应 playbook。系统会在 playbook 设计器视图中打开 playbook。
双击 Set Initialization Block_1。系统会打开块配置对话框。
如需配置 playbook,请使用以下参数:
输入参数 可能的值 说明 edr_product- Crowdstrike
- Carbon Black
- 无
要在 playbook 中使用的 EDR 产品。 itsm_product- Service Now
- Jira
- ZenDesk
- 无
要在 playbook 中使用的 ITSM 产品。Jira 需要在“打开工单”块中进行额外配置。 crowdstrike_use_spotlightTrue或False如果值为 True,则 playbook 会执行需要 Spotlight 许可(漏洞信息)的 Crowdstrike 操作。use_mandiantTrue或False如果值为 True,则 playbook 会执行 Mandiant 代码块。slack_user用户名或电子邮件地址 Slack 用户的用户名或电子邮件地址。如果未提供,playbook 会跳过 Slack 代码块。 点击保存。块配置对话框随即关闭。
在 playbook 设计器窗格中,点击保存。
如需测试使用情形中的 playbook,请注入软件包中包含的测试用例。某些测试用例功能可能会失败,因为用于测试的数据在您的环境中不可用。
Security Command Center 和 Chronicle Cloud DIR
将 Security Command Center 与 Google SecOps SIEM 集成,以便分析师调查 Security Command Center 检测到的突发事件和威胁。
配置使用场景
此使用情形要求您配置以下集成:
- Siemplify
- 工具
- Mitre ATT&CK
- Google Cloud IAM
- Google Chronicle
- 函数
- Google Cloud Compute
- 邮件 V2
- VirusTotal v3
Google Security Command Center 和 Mandiant 集成是可选的。
请确保您已安装相应用例,然后再配置该用例。
- 在 Google SecOps 中,前往 Playbook 标签页。
- 选择 SCC & Chronicle Cloud DIR playbook。
- 双击初始化块以对其进行配置。
- 使用以下参数配置 playbook:
| 参数名称 | 可能的值 | 说明 |
|---|---|---|
Mandiant_Enrichment |
True 或 False |
如果为 您需要为此设置配置 Mandiant 集成。如果您很少获得有意义的信息,可以移除丰富化功能。移除丰富化块可提高 playbook 的执行速度。 |
SCC_Enrichment |
True 或 False |
如果值为 必须为此设置配置 Security Command Center 集成。如果您很少获得有意义的信息,可以移除丰富化功能。移除丰富化块可提高 playbook 的执行速度。 |
IAM_Enrichment |
True 或 False |
如果值为 True,则 playbook 会使用 IAM 功能进行额外扩充。如果您很少获得有意义的信息,可以移除丰富化功能。移除丰富化块可提高 playbook 的执行速度。 |
Compute_Enrichment |
True 或 False |
如果值为 True,则 playbook 会使用 Compute Engine 功能进行额外扩充。如果您很少获得有意义的信息,可以移除丰富化功能。移除丰富化块可提高 playbook 的执行速度。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。