將 Google Chronicle 與 Google SecOps 整合
本文說明如何整合 Google Chronicle 與 Google Security Operations (Google SecOps)。
整合版本:64.0
用途
Google Chronicle 整合服務可解決下列用途:
自動調查及補救網路釣魚事件:運用 Google SecOps SOAR 功能,自動查詢歷來電子郵件資料、使用者活動記錄和威脅情報,評估電子郵件是否合法。自動補救措施可防止惡意軟體或資料外洩事件擴散,協助您進行分類和控管。
強化安全快訊:使用 Google SecOps SOAR 功能,透過歷史脈絡 (例如過去的使用者行為和資產資訊),強化 SIEM 中產生的快訊。這項功能可讓分析師全面掌握事件狀況,以便更快做出更明智的決策。
根據 Google SecOps 洞察資料進行威脅搜尋:使用 Google SecOps SOAR 功能,自動查詢其他安全工具中相關的入侵指標 (IOC)。這有助於您在潛在入侵行為加劇前,主動找出問題。
自動事件應變應對手冊:使用 Google SecOps SOAR 功能觸發預先定義的應對手冊,這些手冊會使用 Google SecOps 資料隔離遭入侵的系統、封鎖惡意 IP 位址,並通知相關利害關係人。這有助於縮短事件回應時間,並將資安事件的影響降至最低。
法規遵循報告和稽核:使用 Google SecOps SOAR 功能,自動從 Google SecOps 收集安全資料,用於法規遵循報告,簡化稽核程序並減少人工作業。
事前準備
在 Google SecOps 中設定 Google Chronicle 整合功能前,請確認您具備下列項目:
Google Cloud 專案:存取有效專案。Google Cloud
權限:在Google Cloud 專案中建立及管理服務帳戶和 IAM 政策時,必須具備必要的 Identity and Access Management (IAM) 角色。
設定整合
設定步驟取決於 Google SecOps 部署類型:
整合式 SecOps 部署:如果您的 Google SecOps 執行個體屬於整合式 SecOps 部署 (與 Google Security Operations SIEM 整合),整合作業通常會使用由 Google管理的預設服務帳戶。在這種情況下,您不需要上傳服務帳戶 JSON 金鑰,也不必手動設定 Workload Identity。必要權限為預先設定,或從主機環境繼承而來。
獨立 SOAR 部署作業:如果您的 Google SecOps 執行個體是獨立 SOAR 部署作業 (未與 Google Security Operations SIEM 整合),您必須使用下列其中一種方法手動設定驗證:
服務帳戶 JSON 金鑰檔案
Workload Identity 聯盟
使用服務帳戶 JSON 金鑰進行驗證
Chronicle API 和 Backstory API 的服務帳戶 JSON 金鑰驗證程序不同。
Chronicle API 驗證 (建議)
如要使用 Chronicle API,您必須在Google Cloud 專案中建立服務帳戶。
在 Google Cloud 控制台中,依序前往「IAM & Admin」(IAM 與管理)>「Service Accounts」(服務帳戶)。
選取「建立服務帳戶」,然後按照提示建立必要的服務帳戶。
選取新服務帳戶的電子郵件地址,然後依序前往「金鑰」>「新增金鑰」>「建立新的金鑰」。
選取「
JSON」做為金鑰類型,然後按一下「建立」。JSON 金鑰檔案會下載至您的電腦。在「權限」> 管理存取權中,將必要的 Google SecOps 專屬 IAM 角色指派給服務帳戶。
Backstory API 驗證
如要使用 Backstory API,必須提供服務帳戶。管理員必須為您建立這個帳戶。
與 Google SecOps 支援團隊聯絡,要求取得 Backstory API 的服務帳戶。提供 SOAR 部署作業的必要詳細資料。
Google SecOps 支援團隊會提供服務帳戶的 JSON 金鑰檔案。
在整合設定中使用提供的金鑰。
使用 Workload Identity 進行驗證 (建議)
建議您使用 Workload Identity,這是獨立 SOAR 部署作業更安全的驗證方法。啟用短期同盟憑證後,就不必管理長期服務帳戶金鑰。
如要使用 Workload Identity 設定驗證,請按照下列步驟操作:
建立工作負載身分集區和提供者:
在 Google Cloud 控制台中,依序前往「IAM & Admin」(IAM 與管理) >「Workload Identity Federation」(工作負載身分聯盟)。
按照提示建立工作負載身分集區,然後建立信任 Google SecOps 為外部身分的工作負載身分集區提供者。
您可以設定提供者,透過 OpenID Connect (OIDC) 將 Google SecOps 視為外部身分來源。
-
在 Google Cloud 控制台中,依序前往「IAM & Admin」(IAM 與管理)>「Service Accounts」(服務帳戶)。
在專案中建立專用服務帳戶。 Google Cloud 外部工作負載 (Google SecOps) 會模擬這個帳戶。
將權限授予服務帳戶:
將必要的 Google SecOps 專屬 IAM 角色 (例如 Chronicle 檢視者、Chronicle Security Operations 編輯者) 指派給服務帳戶。
將
Service Account Token Creator角色授予您建立的 Workload Identity Pool Provider。這項權限可讓供應商模擬這個服務帳戶。
設定信任關係:
在工作負載身分集區提供者和服務帳戶之間建立信任關係。這會將外部身分 (代表 Google SecOps) 連結至 Google Cloud 服務帳戶。
設定整合參數:
在整合設定對話方塊中,於「Workload Identity Email」(Workload Identity 電子郵件地址) 欄位輸入服務帳戶的電子郵件地址。
如需設定 Workload Identity Federation 的詳細操作說明,請參閱「Google Cloud Workload Identity」。
整合參數
Google Chronicle 整合需要下列參數:
| 參數 | 說明 |
|---|---|
UI Root |
必填。 Google SecOps SIEM 介面的基準網址。 系統會使用這項資訊,從案件記錄自動產生直接連結,連回 SIEM 平台。 預設值為 |
API Root |
必填。 Google SecOps SIEM 執行個體的 API 根目錄。這個值取決於您的驗證方法:
如果 API 根目錄使用錯誤的憑證,連線就會失敗。 |
User's Service Account |
選填。 服務帳戶 JSON 金鑰檔案的完整內容。 如果未設定這個參數和 |
Workload Identity Email |
選填。 Workload Identity Federation 的用戶端電子郵件地址。 這個參數的優先順序高於 如要使用 Workload Identity Federation,您必須將 |
Verify SSL |
必填。 選取這個選項後,整合服務會在連線至 Google SecOps SIEM 伺服器時驗證 SSL 憑證。 (預設為啟用)。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
在資料表中新增資料列
使用「Add Rows To Data Table」(將資料列新增至資料表) 動作,在 Google SecOps 中將資料列新增至資料表。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
如要設定動作,請使用下列參數:
| 參數 | 說明 |
|---|---|
Data Table Name |
必填。 要更新的資料表顯示名稱。 |
Rows |
必填。 JSON 物件清單,內含要新增的列相關資訊。 例如:
{
"columnName1": "value1",
"columnName2": "value2"
}
|
動作輸出內容
「將資料列新增至資料表」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 不適用 |
| 案件訊息牆表格 | 不適用 |
| 補充資訊表格 | 不適用 |
| 實體洞察 | 不適用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼執行結果 | 可用 |
JSON 結果
以下範例顯示「將資料列新增至資料表」動作傳回的 JSON 結果範例:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
}
}
輸出訊息
「將資料列新增至資料表」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully added rows to the data table
DATA_TABLE_NAME in
Google SecOps. |
動作成功。 |
Error executing action "Add Rows to Data Table". Reason:
ERROR_REASON |
動作失敗。
請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「將資料列新增至資料表」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
將值新增至參照清單
使用「將值新增至參照清單」動作,將值新增至 Google SecOps 中的參照清單。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
如要設定動作,請使用下列參數:
| 參數 | 說明 |
|---|---|
Reference List Name |
必填。 要更新的參照清單名稱。 |
Values |
必填。 以逗號分隔的清單,列出要新增至參照清單的值。 |
動作輸出內容
「將值新增至參照清單」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 不適用 |
| 案件訊息牆表格 | 不適用 |
| 補充資訊表格 | 不適用 |
| 實體洞察 | 不適用 |
| JSON 結果 | 適用於 |
| 輸出訊息 | 適用於 |
| 指令碼執行結果 | 適用於 |
JSON 結果
以下範例說明使用 Backstory API 搭配「將值新增至參照清單」動作時,收到的 JSON 結果輸出內容:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
以下範例說明使用 Chronicle API 搭配「Add Value To Reference List」(將值新增至參照清單) 動作時,收到的 JSON 結果輸出內容:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_NAME",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
輸出訊息
「Add Values To Reference List」(將值新增至參照清單) 動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully added values to the reference list
REFERENCE_LIST_NAME. |
動作成功。 |
Error executing action "Add Values To Reference List". Reason:
ERROR_REASON |
動作失敗。
請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「將值新增至參照清單」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
問問 Gemini
使用「問問 Gemini」動作,將文字提示傳送至 Google SecOps 中的 Gemini。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
如要設定動作,請使用下列參數:
| 參數 | 說明 |
|---|---|
Automatic Opt-in |
選填。 選取後,劇本會自動為使用者啟用 Gemini 對話,不需要手動確認。 (預設為啟用)。 |
Prompt |
必填。 要傳送給 Gemini 的初始文字提示或問題。 |
動作輸出內容
「問問 Gemini」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 不適用 |
| 案件訊息牆表格 | 不適用 |
| 補充資訊表格 | 不適用 |
| 實體洞察 | 不適用 |
| JSON 結果 | 適用於 |
| 輸出訊息 | 適用於 |
| 指令碼執行結果 | 適用於 |
JSON 結果
以下範例說明使用「Ask Gemini」動作時收到的 JSON 結果輸出:
{
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/users/me/conversations/db3b0fc2-94f8-42ae-b743-c3693f593269/messages/b58e3186-e697-4400-9da8-8ef252a20bd9",
"input": {
"body": "Is IP 159.138.84.217 malicious? What can you tell me about it?"
},
"responses": [
{
"blocks": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<p>The IP address 159.138.84.217 is associated with malware and threat actors.</p>\n<ul>\n<li>It is an IPv4 indicator.</li>\n<li>It is associated with BEACON malware.</li>\n<li>It is categorized as malware-Backdoor.</li>\n<li>It has a low confidence, high severity threat rating.</li>\n<li>VirusTotal's IP Address Report indicates the network for this IP is 159.138.80.0/20, and the IP is associated with HUAWEI CLOUDS in Singapore.</li>\n<li>VirusTotal's last analysis on April 22, 2025, showed 8 malicious detections out of 94 sources.</li>\n</ul>\n<p>I might have more details for a question with more context (e.g., what is the source of the IP, what type of network traffic is associated with the IP).</p>\n"
}
}
],
"references": [
{
"blockType": "HTML",
"htmlContent": {
"privateDoNotAccessOrElseSafeHtmlWrappedValue": "<ol>\n<li><a href=\"https://advantage.mandiant.com/indicator/ipv4/159.138.84.217\" target=\"_blank\">Mandiant - indicator - 159.138.84.217</a></li>\n</ol>\n"
}
}
],
"groundings": [
"IP address 159.138.84.217 malicious cybersecurity",
"IP address 159.138.84.217 threat intelligence"
]
}
],
"createTime": "2025-05-16T11:31:36.660538Z"
}
}
輸出訊息
「問問 Gemini」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully executed a prompt in Google SecOps. |
動作成功。 |
Error executing action "GoogleChronicle - Ask Gemini".
Reason: ERROR_REASON |
動作失敗。
請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「詢問 Gemini」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
充實網域 - 已淘汰
使用「Enrich Domain」(擴充網域) 動作,透過 Google SecOps SIEM 中 IOC 的資訊擴充網域。
這項動作會在下列 Google SecOps 實體上執行:
URLHostname
動作輸入內容
「Enrich Domain」(豐富網域) 動作需要下列參數:
| 參數 | 說明 |
|---|---|
Create Insight |
如果選取,動作會建立包含實體相關資訊的洞察資料。 (預設為啟用)。 |
Only Suspicious Insight |
如果選取這個選項,系統只會為標示為可疑的實體建立洞察資料。 預設為停用。 如果選取這個參數,您也必須選取 |
Lowest Suspicious Severity |
必填。 與網域相關聯的最低嚴重程度,需要將網域標示為可疑。 預設值為
|
Mark Suspicious N/A Severity |
必填。 如果選取這個選項,但系統無法提供嚴重程度資訊,動作會將實體標示為可疑。 |
動作輸出內容
「Enrich Domain」(豐富網域) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 可用 |
| 補充資訊表格 | 可用 |
| 實體洞察 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件訊息牆表格
「Enrich Domain」(豐富網域) 動作會提供下表:
名稱:ENTITY_IDENTIFIER
欄:
- 來源
- 嚴重性
- 類別
- 提升信心
實體充實
「Enrich Domain」(豐富網域) 動作支援下列實體豐富邏輯:
| 補充資料欄位 | 邏輯 (應用時機) |
|---|---|
severity |
以 JSON 格式提供時 |
average_confidence |
以 JSON 格式提供時 |
related_domains |
以 JSON 格式提供時 |
categories |
以 JSON 格式提供時 |
sources |
以 JSON 格式提供時 |
first_seen |
以 JSON 格式提供時 |
last_seen |
以 JSON 格式提供時 |
report_link |
以 JSON 格式提供時 |
JSON 結果
以下範例說明使用 Backstory API 的「Enrich Domain」(擴充網域) 動作時,收到的 JSON 結果輸出內容:
{
{
"sources": [
{
"source": "ET Intelligence Rep List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
以下範例說明使用 Chronicle API 執行「Enrich Domain」(擴充網域) 動作時收到的 JSON 結果輸出:
[
{
"Entity": "example.com",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
},
{
"category": "Phishing",
"firstActiveTime": null,
"lastActiveTime": "2020-11-27T14:31:37Z",
"addresses": [
{
"domain": "example.com"
},
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "high",
"confidenceScore": {
"strRawConfidenceScore": "high"
}
},
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"domain": "example.com"
}
],
"rawSeverity": "medium",
"confidenceScore": {
"strRawConfidenceScore": "100"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
},
{
"metadata": {
"title": "ESET Threat Intelligence",
"description": "ESET Threat Intelligence"
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Phishing",
"activeTimerange": {
"end": "2020-11-27T14:31:37Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "High",
"rawSeverity": "High"
}
]
},
{
"metadata": {
"title": "Mandiant Active Breach Intelligence",
"description": "Mandiant Active Breach IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"domainAndPorts": {
"domain": "example.com"
},
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"confidenceScore": "100",
"rawSeverity": "Medium"
}
]
}
]
}
}
]
輸出訊息
「Enrich Domain」(豐富網域) 動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully enriched the following domain in Google Chronicle:
LIST_OF_IDS |
動作成功。 |
Error executing action "Enrich Domain". Reason:
ERROR_REASON |
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「Enrich Domain」(擴充網域) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
充實實體
使用「Enrich Entities」(擴充實體) 動作,查詢 Google SecOps 中指定實體類型的其他內容和屬性。這項動作會整合外部情報,進一步強化威脅調查資料。
這項動作會在下列 Google SecOps 實體上執行:
DomainFile HashHostnameIP AddressURL(從網址中擷取網域)UserEmail(具有電子郵件規則運算式的使用者實體)
動作輸入內容
「Enrich Entities」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Namespace |
選填。 要擴充實體的邏輯分組或範圍。 如未選取,擴充功能會套用至預設命名空間或所有可存取的命名空間中的實體。 實體必須屬於這個命名空間,才能進行處理。 |
Time Frame |
選填。 相對時間範圍 (例如 這個參數的優先順序高於 |
Start Time |
選填。 以 ISO 8601 格式表示的補償期開始時間。 如果未設定 |
End Time |
選填。 以 ISO 8601 格式表示的絕對補償期結束時間。 如未設定 |
動作輸出內容
「Enrich Entities」(擴充實體) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
| 補充資料欄位 | 來源 (JSON 金鑰) | 適用性 |
|---|---|---|
GoogleSecOps_related_entities |
related_entities數量 | JSON 結果中提供時。 |
GoogleSecOps_alert_count_ruleName |
{alertCounts.count} 每個特定規則 | JSON 結果中提供時。 |
GoogleSecOps_first_seen |
metric.firstSeen |
JSON 結果中提供時。 |
GoogleSecOps_last_seen |
metric.lastSeen |
JSON 結果中提供時。 |
GoogleSecOps_flattened_key_under_entity |
索引鍵的值,從 "entity" 物件下的巢狀結構扁平化。 |
JSON 結果中提供時。 |
JSON 結果
以下範例顯示使用「Enrich Entities」動作時收到的 JSON 結果輸出內容:
[
{
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChFtYXJrb3Nzb2xvbW9uLmNvbRDIAQ",
"metadata": { "entityType": "DOMAIN_NAME" },
"entity": {
"domain": {
"name": "markossolomon.com",
"firstSeenTime": "1970-01-01T00:00:00Z",
"lastSeenTime": "1970-01-01T00:00:00Z",
"registrar": "NameCheap, Inc.",
"creationTime": "2013-12-06T02:41:09Z",
"updateTime": "2019-11-06T11:48:33Z",
"expirationTime": "2020-12-06T02:41:09Z",
"registrant": {
"userDisplayName": "WhoisGuard Protected",
"emailAddresses": [
"58d09cb5035042e9920408f8bafd0869.protect@whoisguard.com"
],
"personalAddress": { "countryOrRegion": "PANAMA" },
"companyName": "WhoisGuard, Inc."
}
}
}
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "npatni-sysops",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg1ucGF0bmktc3lzb3BzEGYaBVl1cml5IhsKCwiC-OzCBhCAvYMUEgwIqvnnwwYQgMyI4QE",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:00:02.042Z",
"endTime": "2025-07-18T07:50:02.472Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "npatni-sysops" }
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:00:02.042Z",
"lastSeen": "2025-07-18T07:50:02.472Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "329" },
{ "rule": "rule_testbucket", "count": "339" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "332" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 1000 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "exlab2019-ad",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiGwoMCLv57MIGEMCp7qgDEgsI8PTnwwYQwLD6SA",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "hostname": "exlab2019-ad" }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.30.202.229",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIbCgwIu_nswgYQwKnuqAMSCwjw9OfDBhDAsPpI",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-06-25T00:03:07.891Z",
"endTime": "2025-07-18T07:40:32.153Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "ip": ["172.30.202.229"] }
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
}
},
"metric": {
"firstSeen": "2025-06-25T00:03:07.891Z",
"lastSeen": "2025-07-18T07:40:32.153Z"
},
"alertCounts": [
{ "rule": "rule_Pavel_test_Risk_score", "count": "321" },
{ "rule": "rule_testbucket", "count": "360" },
{ "rule": "pavel_test2_rule_1749239699456", "count": "319" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{ "alertCount": 26 },
{ "alertCount": 175 },
{ "alertCount": 185 },
{ "alertCount": 195 },
{ "alertCount": 182 },
{ "alertCount": 168 },
{ "alertCount": 69 }
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "172.17.0.1",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgoxNzIuMTcuMC4xEGQaBVl1cml5IhsKCwjOzre-BhDA1rU_EgwI9ZOMwAYQgPn82QM",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-03-09T19:09:02.133Z",
"endTime": "2025-04-19T02:27:01.994Z"
}
},
"entity": { "namespace": "Yuriy", "asset": { "ip": ["172.17.0.1"] } },
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
}
},
"metric": {
"firstSeen": "2025-03-09T19:09:02.133Z",
"lastSeen": "2025-04-19T02:27:01.994Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "911d039e71583a07320b32bde22f8e22",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CiA5MTFkMDM5ZTcxNTgzYTA3MzIwYjMyYmRlMjJmOGUyMhCwAiIVCgYItrj6ugYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "FILE",
"interval": {
"startTime": "2024-12-15T09:07:02Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"file": {
"sha256": "bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527",
"md5": "911d039e71583a07320b32bde22f8e22",
"sha1": "ded8fd7f36417f66eb6ada10e0c0d7c0022986e9",
"size": "278528",
"fileType": "FILE_TYPE_PE_EXE",
"names": [
"C:\\Windows\\System32\\cmd.exe",
"cmd",
"Cmd.Exe",
"C:\\Windows\\system32\\cmd.exe",
"C:\\Windows\\SYSTEM32\\cmd.exe",
"cmd.exe",
"C:\\\\Windows\\\\System32\\\\cmd.exe",
"C:\\windows\\SYSTEM32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\wjxpour4.d0f\\cmd.exe",
"c:\\Windows\\System32\\cmd.exe",
"Utilman.exe",
"c:\\windows\\system32\\cmd.exe",
"System32/cmd.exe",
"UtilityVM/Files/Windows/System32/cmd.exe",
"KerishDoctor/Data/KerishDoctor/Restore/cmd.rst",
"cmd.exe_",
"C:\\WINDOWS\\SYSTEM32\\cmd.exe",
"Cmd.exe",
"Windows/System32/cmd.exe",
"sethc.exe",
"C:\\WINDOWS\\System32\\cmd.exe",
"esRzqurX.exe",
"rofl.png",
"F:\\Windows\\SYSTEM32\\cmd.exe",
"utilman.exe",
"C:\\Windows\\system32\\CMD.exe",
"sys32exe/cmd.exe",
"cmd.txt",
"C:\\WINDOWS\\system32\\cmd.exe",
"cmd2.exe",
"Utilman.exe.sc",
"uhrHRIv8.exe",
"C:\\windows\\system32\\cmd.exe",
"submitted_file",
"C:\\Users\\user\\AppData\\Local\\Temp\\n1qo0bq3.2tn\\KerishDoctor\\Data\\KerishDoctor\\Restore\\cmd.rst",
"J6ff7z0hLYo.exe",
"N:\\Windows\\System32\\cmd.exe",
"Q:\\Windows\\System32\\cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\cmd.exe",
"C:\\Users\\<USER>\\AppData\\Local\\Temp\\cmd.exe",
"test.exe",
"68E2F01F8DE9EFCAE9C0DD893DF0E8C34E2B5C98A6C4073C9C9E8093743D318600.blob",
"8FCVE0Kq.exe",
"cmd (7).exe",
"cmd (8).exe",
"21455_16499564_bc866cfcdda37e24dc2634dc282c7a0e6f55209da17a8fa105b07414c0e7c527_cmd.exe",
"LinX v0.9.11 (Intel)/cmd.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\inbvmkaa.1xd\\LinX v0.9.11 (Intel)\\cmd.exe",
"cmd_b.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\sfd5bhoe.nqi\\cmd.exe",
"cMd.exe",
"Repl_Check.bat__",
"cmd.pdf",
"cmd.EXE",
"C:\\Users\\user\\AppData\\Local\\Temp\\uszjr42t.kda\\cmd.exe",
"LFepc1St.exe",
"firefox.exe",
"3BcnNlWV.exe",
"Utilman.exebak",
"utilman1.exe",
"1.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\ispvscgp.ep2\\sys32exe\\cmd.exe",
"cmd_1771019736291028992.exe",
"C:\\Users\\user\\AppData\\Local\\Temp\\xijgwqvd.54g\\cmd.exe",
"Sethc.exe",
"\\Device\\CdRom1\\DANFE352023067616112\\DANFE352023067616112.EXE",
"DANFE352023067616112.exe",
"file.exe",
"DANFE352023067616112/DANFE352023067616112.exe",
"C:\\Windows\\SYSTEM32\\Cmd.exe",
"pippo.exe",
"C:\\Windows\\System32\\sethc.exe",
"cmd.exe-bws024-windowsfolder",
"whatever.exe",
"sethc.exe.bak",
"S71dbOR1.exe",
"F:\\windows\\SYSTEM32\\cmd.exe",
"L6puhWL7.exe",
"DANFE357986551413927.exe",
"DANFE357666506667634.exe",
"\\Device\\CdRom1\\DANFE357666506667634\\DANFE357666506667634.EXE",
"\\Device\\CdRom1\\DANFE357986551413927\\DANFE357986551413927.EXE",
"\\Device\\CdRom1\\DANFE358567378531506\\DANFE358567378531506.EXE",
"\\Device\\CdRom1\\HtmlFactura3f48daa069f0e42253194ca7b51e7481DPCYKJ4Ojk\\HTMLFACTURA3F48DAA069F0E42253194CA7B51E7481DPCYKJ4OJK.EXE",
"\\Device\\CdRom1\\DANFE357410790837014\\DANFE357410790837014.EXE",
"\\Device\\CdRom1\\DANFE357702036539112\\DANFE357702036539112.EXE",
"winlogon.exe",
"AccessibilityEscalation.A' in file 'utilman.exe'",
"qpl9AqT0.exe",
"C:\\windows\\system32\\CMD.exe",
"C:\\po8az\\2po9hmc\\4v1b5.exe",
"batya.exe",
"nqAwJaba.exe",
"\\Device\\CdRom1\\DANFE356907191810758\\DANFE356907191810758.EXE",
"/Volumes/10_11_2023/DANFE356907191810758/DANFE356907191810758.exe",
"/Volumes/09_21_2023/DANFE357986551413927/DANFE357986551413927.exe",
"\\Device\\CdRom1\\DANFE355460800350113\\DANFE355460800350113.EXE",
"/Volumes/09_19_2023/DANFE355460800350113/DANFE355460800350113.exe",
"DANFE352429512050669.exe",
"/Volumes/04_15_2023/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3/HtmlFacturaeb58f4396e2028a70905705291031e7b3dlvDNyGp3.exe"
],
"firstSeenTime": "2024-12-15T09:07:02Z",
"lastSeenTime": "2025-07-18T07:43:59.045Z",
"lastAnalysisTime": "2025-07-16T10:06:40Z",
"signatureInfo": {
"sigcheck": {
"verificationMessage": "Signed",
"verified": true,
"signers": [{ "name": "Microsoft Windows" }]
}
},
"firstSubmissionTime": "2025-07-15T16:30:27Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
"metric": {
"firstSeen": "2024-12-15T09:07:02Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
},
"alertCounts": [
{ "rule": "pavel_test2_rule_1749239699456", "count": "329" },
{ "rule": "rule_testbucket", "count": "345" },
{ "rule": "rule_Pavel_test_Risk_score", "count": "326" }
],
"timeline": {
"buckets": [
{},
{},
{},
{},
{ "alertCount": 31 },
{ "alertCount": 111 },
{ "alertCount": 109 },
{ "alertCount": 82 },
{ "alertCount": 86 },
{ "alertCount": 98 },
{ "alertCount": 86 },
{ "alertCount": 85 },
{ "alertCount": 92 },
{ "alertCount": 89 },
{ "alertCount": 90 },
{ "alertCount": 41 }
],
"bucketSize": "172800s"
},
"prevalenceResult": [
{ "prevalenceTime": "2025-01-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-01-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-02-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-03-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-04-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-05-31T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-16T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-17T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-18T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-19T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-20T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-21T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-22T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-23T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-24T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-25T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-26T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-27T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-28T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-29T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-06-30T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-01T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-02T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-03T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-04T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-05T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-06T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-07T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-08T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-09T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-10T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-11T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-12T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-13T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-14T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-15T00:00:00Z", "count": 1 },
{ "prevalenceTime": "2025-07-16T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-17T00:00:00Z", "count": 2 },
{ "prevalenceTime": "2025-07-18T00:00:00Z", "count": 2 }
],
"relatedEntities": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/CgxleGxhYjIwMTktYWQQZhoFWXVyaXkiFQoGCPbso7wGEgsIv_bnwwYQwMq6FQ",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"hostname": "exlab2019-ad",
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
},
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cg4xNzIuMzAuMjAyLjIyORBkGgVZdXJpeSIVCgYI9uyjvAYSCwi_9ufDBhDAyroV",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "2025-01-16T12:07:18Z",
"endTime": "2025-07-18T07:43:59.045Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": {
"ip": ["172.30.202.229"],
"firstSeenTime": "2025-01-16T12:07:18Z"
}
},
"metric": {
"firstSeen": "2025-01-16T12:07:18Z",
"lastSeen": "2025-07-18T07:43:59.045Z"
}
}
]
}
},
{
"Entity": "tencent.com",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/Cgt0ZW5jZW50LmNvbRDIASIQCgYInNyZvAYSBgjo-Jm8Bg",
"metadata": {
"entityType": "DOMAIN_NAME",
"interval": {
"startTime": "2025-01-14T14:01:00Z",
"endTime": "2025-01-14T15:02:00Z"
}
},
"entity": {
"domain": {
"name": "tencent.com",
"firstSeenTime": "2025-01-14T14:01:00Z",
"lastSeenTime": "2025-01-14T15:02:00Z",
"registrar": "MarkMonitor Information Technology (Shanghai) Co., Ltd.",
"creationTime": "1998-09-14T04:00:00Z",
"updateTime": "2024-08-20T08:04:01Z",
"expirationTime": "2032-09-13T04:00:00Z",
"registrant": {
"emailAddresses": [""],
"personalAddress": { "countryOrRegion": "CHINA" },
"companyName": "\u6df1\u5733\u5e02\u817e\u8baf\u8ba1\u7b97\u673a\u7cfb\u7edf\u6709\u9650\u516c\u53f8"
}
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
}
},
"metric": {
"firstSeen": "2025-01-14T14:01:00Z",
"lastSeen": "2025-01-14T15:02:00Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
},
{
"Entity": "00:50:56:b6:34:86",
"EntityResult": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/entities/ChEwMDo1MDo1NjpiNjozNDo4NhBlGgVZdXJpeSIKCgASBgjemLzBBg",
"metadata": {
"entityType": "ASSET",
"interval": {
"startTime": "1970-01-01T00:00:00Z",
"endTime": "2025-05-22T11:37:02Z"
}
},
"entity": {
"namespace": "Yuriy",
"asset": { "mac": ["00:50:56:b6:34:86"] }
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
}
},
"metric": {
"firstSeen": "1970-01-01T00:00:00Z",
"lastSeen": "2025-05-22T11:37:02Z"
},
"timeline": {
"buckets": [
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{},
{}
],
"bucketSize": "172800s"
}
}
}
]
輸出訊息
「Enrich Entities」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Enrich Entities". Reason:
ERROR_REASON |
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Enrich Entities」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
充實 IP - 已淘汰
使用「Enrich IP」動作,透過 Google SecOps SIEM 中 IOC 的資訊擴充 IP 實體。
這項動作會在 `IP Address` 實體上執行。
動作輸入內容
「Enrich IP」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Create Insight |
選填。 如果選取,這項動作會建立洞察資料,其中包含實體相關資訊。(預設為啟用)。 |
Only Suspicious Insight |
選填。 如果選取這個選項,系統只會為標示為可疑的實體建立洞察資料。預設為停用。 如果選取這個參數,也必須選取 |
Lowest Suspicious Severity |
必填。 與 IP 位址相關聯的最低嚴重程度,可將該 IP 位址標示為可疑。 預設值為
|
Mark Suspicious N/A Severity |
必填。 如果選取這個選項,但系統無法提供嚴重程度資訊,動作會將實體標示為可疑。 |
動作輸出內容
「Enrich IP」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 可用 |
| 補充資訊表格 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件訊息牆表格
名稱:ENTITY_IDENTIFIER
欄:
- 來源
- 嚴重性
- 類別
- 提升信心
- 相關網域
實體充實
「豐富 IP」動作支援下列實體強化邏輯:
| 補充資料欄位 | 邏輯 (應用時機) |
|---|---|
severity |
以 JSON 格式提供時 |
average_confidence |
以 JSON 格式提供時 |
related_domains |
以 JSON 格式提供時 |
categories |
以 JSON 格式提供時 |
sources |
以 JSON 格式提供時 |
first_seen |
以 JSON 格式提供時 |
last_seen |
以 JSON 格式提供時 |
report_link |
以 JSON 格式提供時 |
JSON 結果
以下範例說明使用 Backstory API 的「Enrich IP」動作時收到的 JSON 結果輸出內容:
{
{
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2021-01-26T17:00:00Z",
"firstSeenTime": "2018-10-03T00:03:53Z",
"lastSeenTime": "2022-02-09T10:52:21.229Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.net&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-09T11%3A51%3A52.393783515Z"
]
}
}
以下範例說明使用 Chronicle API 執行「Enrich IP」動作時收到的 JSON 結果輸出內容:
[
{
"Entity": "192.0.2.121",
"EntityResult": {
"sources": [
{
"category": "Indicator was published in publicly available sources",
"firstActiveTime": "1970-01-01T00:00:01Z",
"lastActiveTime": "9999-12-31T23:59:59Z",
"addresses": [
{
"ipAddress": "IP_ADDRESS"
}
],
"rawSeverity": "low",
"confidenceScore": {
"strRawConfidenceScore": "67"
}
}
],
"feeds": [
{
"metadata": {
"title": "Mandiant Open Source Intelligence",
"description": "Open Source Intel IoC",
"confidenceScoreBucket": {
"rangeEnd": 100
}
},
"iocs": [
{
"categorization": "Indicator was published in publicly available sources",
"activeTimerange": {
"start": "1970-01-01T00:00:01Z",
"end": "9999-12-31T23:59:59Z"
},
"ipAndPorts": {
"ipAddress": "IP_ADDRESS"
},
"confidenceScore": "67",
"rawSeverity": "Low"
}
]
}
]
}
}
]
輸出訊息
「Enrich IP」(豐富 IP) 動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully enriched the following IPs from Google Chronicle:
LIST_OF_IPS |
動作成功。 |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「Enrich IP」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
執行 RetroHunt
使用「執行 Retrohunt」動作,在 Google SecOps 中執行規則 Retrohunt。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「執行回溯搜尋」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Rule ID |
必填。 要執行 Retrohunt 的規則 ID。 如要使用最新版本的規則,請採用 |
Time Frame |
選填。 要擷取結果的期間。 可能的值如下:
如果選取 預設值為 |
Start Time |
結果的開始時間,採用 ISO 8601 格式。 如果 |
End Time |
結果的結束時間,採用 ISO 8601 格式。
如果您未設定值,並為 |
動作輸出內容
「執行回溯搜尋」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| 實體洞察 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用 Backstory API 執行「Execute Retrohunt」動作時收到的 JSON 結果輸出內容:
{
"retrohuntId": "oh_d738c8ea-8fd7-4cc1-b43d-25835b8e1785",
"ruleId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497",
"versionId": "ru_30979d84-aa89-47d6-bf4d-b4bb0eacb497@v_1612472807_179679000",
"eventStartTime": "2021-01-14T23:00:00Z",
"eventEndTime": "2021-01-30T23:00:00Z",
"retrohuntStartTime": "2021-02-08T02:40:59.192113Z",
"state": "RUNNING"
}
以下範例說明使用 Chronicle API 執行「Execute Retrohunt」(執行回溯搜尋) 動作時收到的 JSON 結果輸出內容:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/operations/OPERATION_ID",
"metadata": {
"@type": "type.googleapis.com/RetrohuntMetadata",
"retrohunt": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID/retrohunts/RETROHUNT_ID",
"executionInterval": {
"startTime": "2025-01-22T12:16:20.963182Z",
"endTime": "2025-01-23T12:16:20.963182Z"
}
},
"retrohuntId": "RETROHUNT_ID",
"ruleId": "RULE_ID",
"versionId": "VERSION_ID",
"eventStartTime": "2025-01-22T12:16:20.963182Z",
"eventEndTime": "2025-01-23T12:16:20.963182Z"
}
輸出訊息
「執行回溯搜尋」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully executed a retrohunt for the provided rule in Google
Chronicle.
|
動作成功。 |
Error executing action "Execute Retrohunt". Reason:
ERROR_REASON |
動作失敗。
請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「執行回溯搜尋」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
執行 UDM 查詢
使用「執行 UDM 查詢」動作,在 Google SecOps 中執行自訂 UDM 查詢。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「執行 UDM 查詢」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Query String |
必填。 要在 Google SecOps 中執行的查詢。 |
Time Frame |
選填。 要擷取結果的期間。 可能的值如下:
如果選取 預設值為 |
Start Time |
選填。 結果的開始時間,採用 ISO 8601 格式 (例如 如果 時間範圍最長 90 天。 |
End Time |
選填。 結果的結束時間,採用 ISO 8601 格式 (例如 如未設定值,且 時間範圍最長 90 天。 |
Max Results To Return |
選填。 單一查詢傳回的結果數量。 最大值為 預設值為 |
動作輸出內容
「執行 UDM 查詢」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「執行 UDM 查詢」動作時收到的 JSON 結果輸出:
{
"events":[
"event":{
"metadata":{
"eventTimestamp":"2022-01-20T09:15:15.687Z",
"eventType":"USER_LOGIN",
"vendorName":"Example Vendor",
"productName":"Example Product",
"ingestedTimestamp":"2022-01-20T09:45:07.433587Z"
},
"principal":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.0"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
],
"location":{
"city":"San Francisco",
"state":"California",
"countryOrRegion":"US"
},
"asset":{
"hostname":"example-user-pc",
"ip":[
"203.0.113.1",
"203.0.113.1",
"203.0.113.1"
],
"mac":[
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef",
"01:23:45:ab:cd:ef"
]
}
},
"target":{
"user":{
"userid":"Example",
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-4712406912-7108061610-2717800068-993683",
"emailAddresses":[
"example@example.com",
"admin.example@example.com"
],
"employeeId":"2406187",
"productObjectId":"f93f1540-4935-4266-aa8e-a750a319aa1c",
"firstName":"Example",
"lastName":"User",
"phoneNumbers":[
"555-01-75"
],
"title":"Executive Assistant",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
],
"managers":[
{
"userDisplayName":"Example User",
"windowsSid":"S-1-5-21-6051382818-4135626959-8120238335-834071",
"emailAddresses":[
"user@example.com"
],
"employeeId":"5478500",
"productObjectId":"8b3924d5-6157-43b3-857b-78aa6bd94705",
"firstName":"User",
"lastName":"Example",
"phoneNumbers":[
"555-01-75"
],
"title":"Chief Technology Officer",
"companyName":"Example Corp",
"department":[
"Executive - Admin"
]
}
]
},
"ip":[
"198.51.100.1"
],
"email":"email@example.com",
"application":"Example Sign In"
},
"securityResult":[
{
"summary":"Successful Login",
"action":[
"ALLOW"
]
}
],
"extensions":{
"auth":{
"type":"SSO"
}
}
},
"eventLogToken":"96f23eb9ffaa9f7e7b0e2ff5a0d2e34c,1,1642670115687000,USER,|USER_LOGIN"
]
}
輸出訊息
「執行 UDM 查詢」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Execute UDM Query". Reason:
ERROR_REASON
|
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
Error executing action "Execute UDM Query". Reason: you've reached a
rate limit. Please wait for several minutes and try again. |
動作失敗。 請稍候幾分鐘,再重新執行動作。 |
指令碼結果
下表說明使用「執行 UDM 查詢」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得資料表
使用「取得資料表」動作,在 Google SecOps 中擷取可用的資料表。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「取得資料表」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Filter Key |
選填。 要篩選的鍵 「 可能的值如下: NameDescription |
Filter Logic |
選填。 要套用的篩選器邏輯。 可能的值如下: Equal (完全比對)Contains(適用於子字串比對) |
Filter Value |
選填。 篩選器中使用的值。 可能的值如下: Equal (完全比對)Contains(適用於子字串比對)
如未提供任何內容,系統就不會套用篩選器。 |
Expanded Rows |
選填。 如果選取這個選項,回應會包含詳細的資料表列。 預設為停用。 |
Max Data Tables To Return |
必填。 要傳回的資料表數量。 最大值為 |
Max Data Table Rows To Return |
必填。 要傳回的資料表列數。 只有在啟用 最大值為 |
動作輸出內容
「取得資料表」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「取得資料表」動作時收到的 JSON 結果輸出內容:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table",
"displayName": "data_table",
"createTime": "2025-05-14T12:52:50.064133Z",
"updateTime": "2025-05-14T13:13:48.631442Z",
"columnInfo": [
{
"originalColumn": "columnName1",
"columnType": "STRING"
},
{
"columnIndex": 1,
"originalColumn": "columnName2",
"columnType": "STRING"
},
{
"columnIndex": 2,
"originalColumn": "columnName3",
"columnType": "STRING"
}
],
"dataTableUuid": "c3cce57bb8d940d5ac4523c37d540436",
"approximateRowCount": "2",
"rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
輸出訊息
「取得資料表」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully found data tables for the provided criteria in Google
SecOps |
動作成功。 |
Error executing action "Get Data Tables". Reason:
ERROR_REASON |
動作失敗。
請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「取得資料表」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
取得偵測詳細資料
使用「Get Detection Details」動作,擷取 Google SecOps 中偵測項目的相關資訊。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「取得偵測詳細資料」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Rule ID |
必填。 與偵測結果相關的規則 ID。 如要使用最新版本的規則,請採用 |
Detection ID |
必填。 要擷取詳細資料的偵測 ID。 如果提供特殊字元,動作不會失敗,但會傳回偵測結果清單。 |
動作輸出內容
「取得偵測詳細資料」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「取得偵測詳細資料」動作時收到的 JSON 結果輸出內容:
{
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "singleEventRule2",
"urlBackToProduct":
"https://INSTANCE/ruleDetections?
ruleId=ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d&selectedList=RuleDetectionsViewTimeline&
selectedParentDetectionId=de_ce594791-09ed-9681-27fa-3b7c8fa6054c&
selectedTimestamp=2020-12-03T16: 50: 47.647245Z","ruleId": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d",
"ruleVersion": "ru_1f54ab4b-e523-48f7-ae25-271b5ea8337d@v_1605892822_687503000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT"
}
],
"createdTime": "2020-12-03T19:19:21.325134Z",
"id": "de_ce594791-09ed-9681-27fa-3b7c8fa6054c",
"timeWindow": {
"startTime": "2020-12-03T16:50:47.647245Z",
"endTime": "2020-12-03T16:50:47.647245Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2020-12-03T16:50:47.647245Z",
"collectedTimestamp": "2020-12-03T16:50:47.666064010Z",
"eventType": "NETWORK_DNS",
"productName": "ProductName",
"ingestedTimestamp": "2020-12-03T16:50:49.494542Z"
},
"principal": {
"ip": [
"192.0.2.1"
]
},
"target": {
"ip": [
"203.0.113.1"
]
},
"securityResult": [
{
"action": [
"UNKNOWN_ACTION"
]
}
],
"network": {
"applicationProtocol": "DNS",
"dns": {
"questions": [
{
"name": "example.com",
"type": 1,
"class": 1
}
],
"id": 12345,
"recursionDesired": true
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2020-12-03T16:50:47.647245Z"
}
輸出訊息
「取得偵測詳細資料」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully fetched information about the detection with ID
DETECTION_ID in Google Chronicle. |
動作成功。 |
Error executing action "Get Detection Details". Reason:
ERROR_REASON |
動作失敗。
請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「取得偵測詳細資料」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得參照清單
使用「Get Reference Lists」(取得參照清單) 動作,在 Google SecOps 中擷取可用的參照清單。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「取得參照清單」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Filter Key |
要篩選的鍵。
可能的值如下:
|
Filter Logic |
要套用的篩選器邏輯。 可能的值如下: Equal (完全比對)Contains(適用於子字串比對)預設值為 |
Filter Value |
篩選器中使用的值。
可能的值如下: Equal (完全比對)Contains(適用於子字串比對)
如未提供值,系統不會套用篩選器。 |
Expanded Details |
如果選取這個選項,動作會傳回參考清單的詳細資訊。
預設為停用。 |
Max Reference Lists To Return |
要傳回的參考清單數量。
預設值為 |
動作輸出內容
「取得參考清單」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 不適用 |
| 案件訊息牆表格 | 適用於 |
| 補充資訊表格 | 不適用 |
| JSON 結果 | 適用於 |
| 輸出訊息 | 適用於 |
| 指令碼執行結果 | 適用於 |
案件訊息牆表格
在案件牆上,「取得參考清單」會提供下表:
名稱:可用的參考清單
欄:
- 名稱
- 說明
- 類型
JSON 結果
以下範例說明使用 Backstory API 執行「取得參照清單」動作時收到的 JSON 結果輸出內容:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
以下範例說明使用 Chronicle API 執行「Get Reference Lists」動作時收到的 JSON 結果輸出內容:
[
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/REFERENCE_LIST_ID",
"displayName": "REFERENCE_LIST_ID",
"revisionCreateTime": "2025-01-09T15:53:10.851775Z",
"description": "Test reference list",
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-09T15:53:10.851775Z"
}
]
輸出訊息
「取得參照清單」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action
ACTION_NAME. Reason:
ERROR_REASON
|
動作失敗。
請檢查伺服器連線、輸入參數或憑證。 |
Error executing action
ACTION_NAME. Reason: "Invalid
value was provided for "Max Reference Lists to Return":
PROVIIDED_VALUE. Positive number should be provided. |
動作失敗。
檢查 |
指令碼
下表說明使用「取得參照清單」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得規則詳細資料
使用「Get Rule Details」動作,擷取 Google SecOps 中規則的相關資訊。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「取得規則詳細資料」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Rule ID |
必填。 要擷取詳細資料的規則 ID。 |
動作輸出內容
「取得規則詳細資料」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用 Backstory API 搭配「Get Rule Details」動作時收到的 JSON 結果輸出內容:
{
"ruleId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f",
"versionId": "ru_e6abfcb5-1b85-41b0-b64c-695b3250436f@v_1602631093_146879000",
"ruleName": "SampleRule",
"metadata": {
"description": "Sample Description of the Rule",
"author": "author@example.com"
},
"ruleText": "rule SampleRule {
meta:
description = \"Sample Description of the Rule\"
author = \"author@example.com\"
events:
// This will just generate lots of detections
$event.metadata.event_type = \"NETWORK_HTTP\"
condition:
$event
} ",
"liveRuleEnabled": true,
"versionCreateTime": "2020-10-13T23:18:13.146879Z",
"compilationState": "SUCCEEDED"
}
以下範例說明使用 Chronicle API 執行「Get Rule Details」(取得規則詳細資料) 動作時收到的 JSON 結果輸出內容:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/rules/RULE_ID",
"revisionId": "v_1733917896_973567000",
"displayName": "Test_rule_SingleEvent",
"text": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"author": "example_user",
"metadata": {
"author": "example_user",
"description": "windowed single event example rule",
"severity": null
},
"createTime": "2024-12-11T11:36:18.192127Z",
"revisionCreateTime": "2024-12-11T11:51:36.973567Z",
"compilationState": "SUCCEEDED",
"type": "SINGLE_EVENT",
"allowedRunFrequencies": [
"LIVE",
"HOURLY",
"DAILY"
],
"etag": "CMj55boGEJjondAD",
"ruleId": "RULE_ID",
"versionId": "RULE_ID@v_1733917896_973567000",
"ruleName": "Test_rule_SingleEvent",
"ruleText": "rule Test_rule_SingleEvent {\n // This rule matches single events. Rules can also match multiple events within\n // some time window. For details about how to write a multi-event rule, see\n // URL\n\n meta:\n // Allows for storage of arbitrary key-value pairs of rule details - who\n // wrote it, what it detects on, version control, etc.\n // The \"author\" and \"severity\" fields are special, as they are used as\n // columns on the rules dashboard. If you want to sort based on\n // these fields on the dashboard, make sure to add them here.\n // Severity value, by convention, should be \"Low\", \"Medium\" or \"High\"\n author = \"example_user\"\n description = \"windowed single event example rule\"\n //severity = \"Medium\"\n\n events:\n $e.metadata.event_type = \"USER_LOGIN\"\n $e.principal.user.userid = $user\n\n //outcome:\n // For a multi-event rule an aggregation function is required\n // e.g., risk_score = max(0)\n // See URL\n //$risk_score = 0\n match:\n $user over 1m\n\n condition:\n #e > 0\n}\n",
"ruleType": "SINGLE_EVENT",
"versionCreateTime": "2024-12-11T11:51:36.973567Z"
}
輸出訊息
「取得規則詳細資料」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully fetched information about the rule with ID
RULE_ID in Google Chronicle.
|
動作成功。 |
Error executing action "Get Rule Details". Reason:
ERROR_REASON
|
動作失敗。
請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「取得規則詳細資料」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
值是否位於資料表中
使用「Is Value In Data Table」(值是否位於資料表中),檢查提供的值是否位於 Google SecOps 的資料表中。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「Is Value In Data Table」(資料表中的值) 動作需要下列參數:
| 參數 | 說明 |
|---|---|
Data Table Name |
必填。 要搜尋的資料表顯示名稱。 |
Column |
選填。 以半形逗號分隔的搜尋欄清單。 如果未提供任何值,動作會搜尋所有資料欄。 |
Values |
必填。 以半形逗號分隔的搜尋值清單。 |
Case Insensitive Search |
選填。 如果勾選這個選項,搜尋時就不會區分大小寫。 (預設為啟用)。 |
Max Data Table Rows To Return |
必填。 每個相符值要傳回的資料表列數。 最大值為 |
動作輸出內容
「Is Value In Data Table」(值是否位於資料表) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 不適用 |
| 案件訊息牆表格 | 不適用 |
| 補充資訊表格 | 不適用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼執行結果 | 可用 |
JSON 結果
以下範例說明使用「Is Value In Data Table」(資料表中的值) 動作時收到的 JSON 結果輸出內容:
[{
"Entity": "asda",
"EntityResult": {
"is_found": true,
"matched_rows": [
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
]
}
}]
輸出訊息
「Is Value In Data Table」(值是否位於資料表中) 動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully searched provided values in the data table {data table}
in Google SecOps.
|
動作成功。 |
| 執行「Is Value In Data Table」動作時發生錯誤。原因: ERROR_REASON | 動作失敗。
請檢查伺服器連線、輸入參數或憑證。 |
Error executing action "Is Value In Data Table". Reason: the
following data tables were not found in:
DATA_TABLE_NAME:
COLUMN_NAMES. Please check the
spelling.
|
動作失敗。 |
Error executing action "Is Value In Data Table". Reason:
This action is not supported for Backstory API configuration. Please update
the integration configuration.
|
動作失敗。 |
指令碼結果
下表說明使用「Is Value In Data Table」(值是否在資料表中) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
true或false |
值是否在參照清單中
使用「Is Value In Reference List」(值是否在參照清單中) 動作,檢查 Google SecOps 參照清單中是否包含提供的值。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「Is Value In Reference List」(值是否在參照清單中) 動作需要下列參數:
| 參數 | 說明 |
|---|---|
Reference List Names |
必填。 以半形逗號分隔的參考清單名稱清單,用於搜尋。 |
Values |
必填。 以半形逗號分隔的搜尋值清單。 |
Case Insensitive Search |
選填。 如果勾選這個選項,搜尋時就不會區分大小寫。 |
動作輸出內容
「Is Value In Reference List」(值是否在參照清單中) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 不適用 |
| 案件總覽連結 | 不適用 |
| 案件訊息牆表格 | 不適用 |
| 補充資訊表格 | 不適用 |
| JSON 結果 | 適用於 |
| 輸出訊息 | 適用於 |
| 指令碼執行結果 | 適用於 |
JSON 結果
以下範例說明使用 Backstory API 搭配「Is Value In Reference List」動作時收到的 JSON 結果輸出內容:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
以下範例說明使用 Chronicle API 搭配「Is Value In Reference List」動作時收到的 JSON 結果輸出內容:
{
"Entity": "example.com",
"EntityResult": {
"found_in": [
"Reference list names, where item was found"
],
"not_found_in": [
"Reference list names, where items wasn't found"
],
"overall_status": "found, if at least one reference list had the value/not found, if non of the reference lists found the value"
}
}
輸出訊息
「Is Value In Reference List」(值是否在參照清單中) 動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully searched provided values in the reference lists in
Google Chronicle.
|
動作成功。 |
| 執行「Is Value In Reference List」動作時發生錯誤。原因: ERROR_REASON | 動作失敗。
請檢查伺服器連線、輸入參數或憑證。 |
Error executing action "Is Value In Reference List". Reason: the
following reference lists were not found in Google Chronicle:
MISSING_REFERENCE_LIST_NAME(S).
Please use the action "Get Reference Lists" to see what reference lists are
available.
|
動作失敗。 執行「取得參考清單」動作,檢查是否有可用清單。 |
指令碼結果
下表說明使用「Is Value In Reference List」(值是否在參照清單中) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
可列出資產
使用「列出資產」動作,根據指定時間範圍內的相關實體,列出 Google SecOps SIEM 中的資產。
這項動作僅支援 MD5、SHA-1 和 SHA-256 雜湊。
這項動作會在下列 Google SecOps 實體上執行:
URLIP AddressHash
動作輸入內容
「列出資產」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Max Hours Backwards |
擷取資產的小時數 (以目前時間為準)。
預設值為 |
Create Insight |
如果選取這項動作,系統會建立洞察資料,提供實體相關資訊。 (預設為啟用)。 |
Max Assets To Return |
要傳回的資產數量。 預設值為 |
Time Frame |
選填。 要擷取結果的期間。 可能的值如下:
如果選取 預設值為 |
Start Time |
開始時間,採用 ISO 8601 格式。 如果 |
End Time |
採用 ISO 8601 格式的結束時間。
如果您未設定值,且將 |
動作輸出內容
「列出資產」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 可用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件訊息牆表格
名稱:ENTITY_IDENTIFIER
欄:
- 主機名稱
- IP 位址
- 首次發現的構件
- 上次看到的構件
JSON 結果
以下範例說明使用 Backstory API 的「列出資產」動作時收到的 JSON 結果輸出內容:
{
"assets": [
{
"asset": {
"hostname": "example"
},
"firstSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-02-28T09:18:15.675Z"
},
"lastSeenArtifactInfo": {
"artifactIndicator": {
"domainName": "www.example.com"
},
"seenTime": "2020-09-24T06:43:59Z"
}
}
],
"uri": [
"https://INSTANCE/domainResults?domain=www.example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2020-09-27T12%3A07%3A34.166830443Z"
]
}
以下範例說明使用 Chronicle API 執行「列出資產」動作時收到的 JSON 結果輸出內容:
[
{
"Entity": "192.0.2.229",
"EntityResult": {
"assets": [
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Open Source Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2024-09-20T14:14:07.843Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Open Source Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "OPEN_SOURCE_INTEL_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "ex ",
"valueType": "DOMAIN_NAME"
}
},
{
"artifactIndicator": {
"domain": "example.com"
},
"sources": [
"Mandiant Active Breach Intelligence"
],
"categories": [
"Indicator was published in publicly available sources"
],
"assetIndicators": [
{
"assetIpAddress": "192.0.2.229"
}
],
"iocIngestTimestamp": "2023-07-05T02:42:52.935Z",
"firstSeenTimestamp": "2025-01-15T11:20:00Z",
"lastSeenTimestamp": "2025-01-15T11:20:00Z",
"filterProperties": {
"stringProperties": {
"IOC/ALERT SEVERITY": {
"values": [
{
"rawValue": "Medium"
}
]
},
"IOC CONFIDENCE SCORE": {
"values": [
{
"rawValue": "High"
}
]
},
"IOC FEED": {
"values": [
{
"rawValue": "Mandiant Active Breach Intelligence"
}
]
},
"IOC CATEGORIES": {
"values": [
{
"rawValue": "Indicator was published in publicly available sources"
}
]
},
"TLD": {
"values": [
{
"rawValue": ".com"
}
]
}
}
},
"confidenceBucket": "High",
"rawSeverity": "Medium",
"logType": "MANDIANT_ACTIVE_BREACH_IOC",
"confidenceScore": 100,
"globalCustomerId": "ID",
"confidenceScoreBucket": {
"rangeEnd": 100
},
"categorization": "Indicator was published in publicly available sources",
"domainAndPorts": {
"domain": "example.com"
},
"activeTimerange": {
"startTime": "1970-01-01T00:00:01Z",
"endTime": "9999-12-31T23:59:59Z"
},
"feedName": "MANDIANT",
"id": "ID",
"fieldAndValue": {
"value": "example.com",
"valueType": "DOMAIN_NAME"
}
}
],
"uri": "https://INSTANCE.backstory.chronicle.security/destinationIpResults?ADDRESS=192.0.2.229&selectedList=IpViewDistinctAssets&referenceTime=2025-01-23T11%3A16%3A24.517449Z"
}
}
]
輸出訊息
「列出資產」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully listed related assets for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
動作成功。 |
Error executing action "List Assets". Reason:
ERROR_REASON |
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「列出資產」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
列出事件
使用「列出事件」動作,列出特定資產在指定時間範圍內的事件。
這項操作只能擷取 10,000 個事件。
這項動作會在下列 Google SecOps 實體上執行:
IP addressMAC addressHostname
動作輸入內容
「列出事件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Event Types |
以半形逗號分隔的事件類型清單。
如果未提供任何值,系統會擷取所有事件類型。 如需所有可能值的清單,請參閱事件類型可能值。 |
Time Frame |
指定的時間範圍。為求最佳成效,建議盡可能縮小範圍。
如果選取 如果選取 可能的值如下:
預設值為 |
Start Time |
開始時間,採用 ISO 8601 格式。 如果 |
End Time |
採用 ISO 8601 格式的結束時間。 如未提供值,且 這個參數接受 |
Reference Time |
活動搜尋的參考時間。
如未提供任何值,動作會以結束時間做為參考。 |
Output |
必填。 輸出格式。 可能的值如下:
|
Max Events To Return |
要為每個實體類型處理的事件數量。 預設值為 |
事件類型可能的值
Event Type 參數可能的值如下:
EVENTTYPE_UNSPECIFIEDPROCESS_UNCATEGORIZEDPROCESS_LAUNCHPROCESS_INJECTIONPROCESS_PRIVILEGE_ESCALATIONPROCESS_TERMINATIONPROCESS_OPENPROCESS_MODULE_LOADREGISTRY_UNCATEGORIZEDREGISTRY_CREATIONREGISTRY_MODIFICATIONREGISTRY_DELETIONSETTING_UNCATEGORIZEDSETTING_CREATIONSETTING_MODIFICATIONSETTING_DELETIONMUTEX_UNCATEGORIZEDMUTEX_CREATIONFILE_UNCATEGORIZEDFILE_CREATIONFILE_DELETIONFILE_MODIFICATIONFILE_READFILE_COPYFILE_OPENFILE_MOVEFILE_SYNCUSER_UNCATEGORIZEDUSER_LOGINUSER_LOGOUTUSER_CREATIONUSER_CHANGE_PASSWORDUSER_CHANGE_PERMISSIONSUSER_STATSUSER_BADGE_INUSER_DELETIONUSER_RESOURCE_CREATIONUSER_RESOURCE_UPDATE_CONTENTUSER_RESOURCE_UPDATE_PERMISSIONSUSER_COMMUNICATIONUSER_RESOURCE_ACCESSUSER_RESOURCE_DELETIONGROUP_UNCATEGORIZEDGROUP_CREATIONGROUP_DELETIONGROUP_MODIFICATIONEMAIL_UNCATEGORIZEDEMAIL_TRANSACTIONEMAIL_URL_CLICKNETWORK_UNCATEGORIZEDNETWORK_FLOWNETWORK_CONNECTIONNETWORK_FTPNETWORK_DHCPNETWORK_DNSNETWORK_HTTPNETWORK_SMTPSTATUS_UNCATEGORIZEDSTATUS_HEARTBEATSTATUS_STARTUPSTATUS_SHUTDOWNSTATUS_UPDATESCAN_UNCATEGORIZEDSCAN_FILESCAN_PROCESS_BEHAVIORSSCAN_PROCESSSCAN_HOSTSCAN_VULN_HOSTSCAN_VULN_NETWORKSCAN_NETWORKSCHEDULED_TASK_UNCATEGORIZEDSCHEDULED_TASK_CREATIONSCHEDULED_TASK_DELETIONSCHEDULED_TASK_ENABLESCHEDULED_TASK_DISABLESCHEDULED_TASK_MODIFICATIONSYSTEM_AUDIT_LOG_UNCATEGORIZEDSYSTEM_AUDIT_LOG_WIPESERVICE_UNSPECIFIEDSERVICE_CREATIONSERVICE_DELETIONSERVICE_STARTSERVICE_STOPSERVICE_MODIFICATIONGENERIC_EVENTRESOURCE_CREATIONRESOURCE_DELETIONRESOURCE_PERMISSIONS_CHANGERESOURCE_READRESOURCE_WRITTENANALYST_UPDATE_VERDICTANALYST_UPDATE_REPUTATIONANALYST_UPDATE_SEVERITY_SCOREANALYST_UPDATE_STATUSANALYST_ADD_COMMENT
動作輸出內容
「列出事件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「列出活動」動作時收到的 JSON 結果輸出內容:
{
"statistics": {
"NETWORK_CONNECTION": 10
}
{
"events": [
{
"metadata": {
"eventTimestamp": "2020-09-28T14:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
},
{
"metadata": {
"eventTimestamp": "2020-09-28T17:20:00Z",
"eventType": "NETWORK_CONNECTION",
"productName": "EXAMPLE Name",
"productEventType": "NETWORK_DNS",
"ingestedTimestamp": "2020-09-28T16:28:11.615578Z"
},
"principal": {
"hostname": "user-example-pc",
"assetId": "EXAMPLE:user-example-pc",
"process": {
"pid": "1101",
"productSpecificProcessId": "EXAMPLE:32323"
}
},
"target": {
"hostname": "example.com",
"user": {
"userid": "user"
},
"process": {
"pid": "8172",
"file": {
"md5": "a219fc7fcc93890a842183388f80369e",
"fullPath": "C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe"
},
"commandLine": "\"C:\\Program Files(x86)\\adobe\\acrobat reader dc\\reader\\acrord32.exe\" ...",
"productSpecificProcessId": "EXAMPLE:82315"
}
}
}
],
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=user-example-pc&referenceTime=2020-09-28T17%3A00%3A00Z&selectedList=AssetViewTimeline&startTime=2020-09-28T14%3A20%3A00Z&endTime=2020-09-28T20%3A20%3A00Z"
]
}
}
輸出訊息
「列出事件」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully listed related events for the following entities
from Google Chronicle:
ENTITY_IDENTIFIER |
動作成功。 |
Error executing action "List Events". Reason:
ERROR_REASON
|
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
Error executing action "List Events". Reason: invalid event type
is provided. Please check the spelling. Supported event types:
SUPPORTED_EVENT_TYPES
|
動作失敗。
檢查拼字。 |
指令碼結果
下表說明使用「列出事件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
列出 IOC
使用「列出 IOC」動作,列出企業在指定時間範圍內發現的所有 IOC。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「列出 IOC」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Start Time |
結果的開始時間,採用 ISO 8601 格式。 |
Max IoCs to Fetch |
要傳回的 IoC 數量上限。
範圍為 預設值為 |
動作輸出內容
「列出 IOC」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 可用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件訊息牆表格
欄:
- 網域
- 類別
- 來源
- 提升信心
- 嚴重性
- IoC 擷取時間
- IoC 首次出現時間
- IoC 最後出現時間
- URI
JSON 結果
下列範例說明使用「列出 IOC」動作時收到的 JSON 結果輸出內容:
{
"matches":[
{
"artifact":{
"domainName":"www.example.com"
},
"firstSeenTime":"2018-05-25T20:47:11.048998Z",
"iocIngestTime":"2019-08-14T21:00:00Z",
"lastSeenTime":"2019-10-24T16:19:46.880830Z",
"sources":[
{
"category":"Spyware Reporting Server",
"confidenceScore":{
"intRawConfidenceScore":0,
"normalizedConfidenceScore":"Low"
},
"rawSeverity":"Medium",
"source":"Example List"
}
],
"uri":["URI"]
}
],
"moreDataAvailable":true
}
輸出訊息
「列出 IOC」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully listed IOCs from the provided timeframe in Google
Chronicle. |
動作成功。 |
Error executing action "List IOCs". Reason:
ERROR_REASON.
|
動作失敗。
請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「列出 IOC」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
查詢類似快訊
使用「Lookup Similar Alerts」(查詢類似快訊) 動作,在 Google SecOps 中搜尋類似快訊。
這項動作只能搭配透過 Chronicle Alerts Connector 收到的 Google SecOps 快訊使用。
動作輸入內容
「Lookup Similar Alerts」(查詢類似快訊) 動作需要下列參數:
| 參數 | 說明 |
|---|---|
Time Frame |
結果的指定時間範圍。為獲得最佳結果,請盡可能縮小時間範圍。 可能的值如下:
|
IOCs / Assets |
必填。 以半形逗號分隔的 IoC 或資產清單,用於在快訊中尋找。這項動作會為每個提供的項目分別執行搜尋。 |
Similarity By |
用於尋找類似快訊的屬性。 可能的值如下:
預設值為 |
「相似度依據」參數的運作方式
Similarity By 參數適用於規則快訊和外部快訊的方式不同。
如果選取「
Alert Name, Alert Type and Product」或「Alert Name, Alert Type」:如果是外部快訊,這項動作會搜尋名稱相同的其他外部快訊。
如果是規則快訊,動作會處理源自同一規則的快訊。
如果選取
Product:- 無論是規則快訊或外部快訊,這項動作都會處理來自相同產品的快訊。
舉例來說,源自 Crowdstrike 的快訊只會與 Crowdstrike 的其他快訊相符。
如果選取
Only IOCs/Assets:這項動作會根據
IOCs/Assets參數中提供的 IOC 比對快訊。這項功能會在規則快訊和外部快訊中搜尋這些指標。只有選取這個選項,IOC 快訊才能執行這項動作。如果提供任何其他選項,動作預設為
Only IOCs/Assets。
「查詢類似快訊」動作是分析快訊的多功能工具。 分析師可藉此關聯同一時間範圍內的警示,並擷取相關入侵指標,判斷事件是否為真正的正向結果。
動作輸出內容
「Lookup Similar Alerts」(查詢類似快訊) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 可用 |
| 案件訊息牆表格 | 可用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「Lookup Similar Alerts」動作時收到的 JSON 結果輸出內容:
{
"count": 123,
"distinct": [
{
"first_seen": "time of the first alert that matched our conditions",
"last_seen": "time of the last alert that matched our conditions",
"product_name": "product name",
"used_ioc_asset": "what user provided in the parameter IOCs and Assets",
"name": "Alert Name/Rule Name",
"hostnames": "csv list of unique hostnames that were found in alerts",
"urls": "csv list of unique urls that were found in alerts",
"ips": "csv list of unique ips that were found in alerts",
"subjects": "csv list of unique subjects that were found in alerts",
"users": "csv list of unique users that were found in alerts",
"email_addresses": "csv list of unique email_addresses that were found in alerts",
"hashes": "csv list of unique hashes that were found in alerts",
"processes": "csv list of unique processes that were found in alerts"
"rule_urls": ["Chronicle URL from API response for Rule"]
"count": 123
}
],
"processed_alerts": 10000,
"run_time": "how long it took to run the action or at least API request",
"EXTERNAL_url": "Chronicle URL from API response for EXTERNAL"
}
輸出訊息
「Lookup Similar Alerts」(查詢類似快訊) 動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Lookup Similar Alerts". Reason:
ERROR_REASON
|
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
Error executing action "Lookup Similar Alerts". Reason: all of the
retries are exhausted. Please wait for a minute and try again.
|
動作失敗。 請稍候片刻,再重新執行動作。 |
指令碼結果
下表說明使用「Lookup Similar Alerts」(查詢類似快訊) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
案件訊息牆表格
資料表名稱:IOC/ASSET_IDENTIFIER
資料表欄:
- 產品
- 主機名稱
- IP
- 使用者
- 電子郵件地址
- 主題
- 網址
- 雜湊值
- 處理程序
- 首次出現
- 上次查看時間
- 快訊名稱
- 一般
案件總覽連結
「Lookup Similar Alerts」(查詢類似快訊) 動作可能會傳回下列連結:
- CBN:GENERATED_LINK_BASED_ON_IU_ROOT_URL
- 規則:GENERATED_LINK_BASED_ON_IU_ROOT_URL
乒乓
使用「Ping」動作測試與 Google SecOps 的連線。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
無
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
輸出訊息
「Ping」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully connected to the Google Chronicle backstory with the
provided connection parameters! |
動作成功。 |
Failed to connect to the Google Chronicle backstory. Error is
ERROR_REASON
|
動作失敗。 請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表說明使用 Ping 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
從資料表移除資料列
使用「Remove Rows From Data Table」(從資料表移除資料列) 動作,從 Google SecOps 的資料表中移除資料列。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「從資料表移除資料列」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Data Table Name |
必填。 要更新的資料表顯示名稱。 |
Rows |
必填。 用於搜尋及刪除資料列的 JSON 物件清單。 請只加入有效欄。 預設值為: |
動作輸出內容
「從資料表移除資料列」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用「從資料表移除資料列」動作時收到的 JSON 結果輸出內容:
{
"name": "projects/365235532452/locations/us/instances/df6f1958-0381-41f9-8794-08a3229744a5/dataTables/data_table/dataTableRows/840d18a85944833e1b97ed6d2fb11377",
"values": {
"columnName1": "asda",
"columnName2": "asdasd",
"columnName3": "zxczxc"
},
"createTime": "2025-05-14T12:52:51.908143Z",
"updateTime": "2025-05-14T12:52:51.908143Z"
}
輸出訊息
「從資料表移除資料列」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully removed rows from the data table
DATA_TABLE_NAME in
Google SecOps.
|
動作成功。 |
Error executing action "Remove Rows From Data Table". Reason:
ERROR_REASON
|
動作失敗。
請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「從資料表移除資料列」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
從參照清單中移除值
使用「從參照清單中移除值」動作,從 Google SecOps 的參照清單中移除值。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「從參照清單中移除值」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Reference List Name |
必填。 要更新的參照清單名稱。 |
Values |
必填。 以半形逗號分隔的清單,列出要從參照清單中移除的值。 |
動作輸出內容
「從參照清單中移除值」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例說明使用 Backstory API 搭配「從參照清單移除值」動作時收到的 JSON 結果輸出:
{
"name": "list_name",
"description": "description of the list",
"lines": [
"192.0.2.0/24",
"198.51.100.0/24"
],
"create_time": "2020-11-20T17:18:20.409247Z",
"content_type": "CIDR"
}
以下範例說明使用 Chronicle API 搭配「從參照清單移除值」動作時收到的 JSON 結果輸出內容:
{
"name": "projects/PROJECT_ID/locations/us/instances/INSTANCE_ID/referenceLists/<var class="readonly">REFERENCE_LIST_NAME</var>' }}",
"displayName": "REFERENCE_LIST_NAME",
"revisionCreateTime": "2025-01-16T09:15:21.795743Z",
"description": "Test reference list",
"entries": [
{
"value": "example.com"
},
{
"value": "exampledomain.com"
}
],
"syntaxType": "REFERENCE_LIST_SYNTAX_TYPE_PLAIN_TEXT_STRING",
"scopeInfo": {
"referenceListScope": {}
},
"createTime": "2025-01-16T09:15:21.795743Z",
"lines": [
"example.com",
"exampledomain.com"
]
}
輸出訊息
「從參照清單中移除值」動作會提供下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully removed values from the reference list.
|
動作成功。 |
Error executing action "Remove Values From Reference List". Reason:
ERROR_REASON
|
動作失敗。
請檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表說明使用「從參照清單移除值」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
連接器
如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。
Google Chronicle - Chronicle 警示連接器
使用 Google Chronicle - Chronicle Alerts Connector,從 Google SecOps SIEM 擷取有關規則式快訊的資訊。
這個連接器可以使用動態清單篩選。
總覽
Google Chronicle - Chronicle Alerts Connector 會從 Google SecOps SIEM 擷取多種快訊類型。
主要功能和運作細節包括:
這項查詢會擷取一週內的資料。
為避免索引延遲導致錯過快訊,您可以設定緩衝期並增加連接器逾時時間,但緩衝期過長可能會對效能造成負面影響。
連接器會使用動態清單,方便您進行設定。
如果快訊缺少嚴重程度值,系統會提供
Fallback Severity。如要擷取 IoC,您必須在 Google SecOps SIEM 中建立相應的偵測規則,根據 IoC 產生警示。
動態清單篩選器
動態清單可用於直接從連接器設定頁面篩選快訊。
運算子邏輯
動態清單會結合使用 AND 和 OR 邏輯來處理篩選規則:
「或」邏輯:同一行以半形逗號分隔的值會以「或」邏輯處理 (例如,
Rule.severity = low,medium表示「low」或「medium」嚴重程度)。AND 邏輯:系統會以 AND 邏輯處理動態清單中的每一行 (例如,
Rule.severity和Rule.ruleName各自一行,表示severityANDruleName)。支援的運算子 (
=、!=、>、<、>=、<=) 會因篩選鍵而異。
以下是使用運算子規則的範例:
- Rule.severity = medium:連接器只會擷取嚴重程度為中等的規則快訊。
- Rule.severity = low,medium:連接器只會擷取嚴重程度為中或低的規則快訊。
- Rule.ruleName = default_rule:連接器只會擷取名稱為
default_rule的規則快訊。
支援的篩選器
Chronicle Alerts Connector 支援依下列鍵篩選:
| 篩選鍵 | 回覆金鑰 | 運算子 | 可能的值 |
|---|---|---|---|
Rule.severity |
detection、ruleLabels 或 severity |
=、!=、>、<、
>=、<= |
值不區分大小寫。 |
Rule.ruleName |
detection或ruleName |
=、!= |
由使用者定義。 |
Rule.ruleID |
detection或ruleId |
=、!= |
由使用者定義。 |
Rule.ruleLabels.{key} |
detection或ruleLabels |
=、!= |
由使用者定義。 |
使用方式 ruleLabels
如要依規則中的特定標籤進行篩選,請使用 Rule.ruleLabels.{key} 格式。
舉例來說,如要篩選具有 type 鍵和 suspicious_behaviour 值的標籤,動態清單輸入內容應為:
Rule.ruleLabels.type=suspicious_behaviour
連接器輸入內容
Chronicle Alerts 連接器需要下列參數:
預設值為 Medium。
| 參數 | 說明 |
|---|---|
Product Field Name |
必填。 儲存產品名稱的欄位名稱。 產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。 預設值為 |
Event Field Name |
必填。 決定事件名稱 (子類型) 的欄位名稱。 |
Environment Field Name |
選填。 儲存環境名稱的欄位名稱。 如果缺少環境欄位,連接器會使用預設值。 預設值為 |
Environment Regex Pattern |
選填。 要在「 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Script Timeout (Seconds) |
必填。 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 |
API Root |
必填。 Google SecOps SIEM 執行個體的 API 根目錄。 Google SecOps 為每個 API 提供區域端點,例如 請與 Cloud Customer Care 團隊聯絡,瞭解應使用哪個端點。 預設值為 |
User's Service Account |
必填。 用於驗證的服務帳戶完整 JSON 內容。 |
Fallback Severity |
必填。 如果 Google SecOps SIEM 的快訊未包含嚴重程度值,則使用這個預設嚴重程度。 可能的值如下:
|
Max Hours Backwards |
選填。 在初始連接器執行前,要從多少小時前開始擷取事件。 這個參數只會套用一次。 最大值為 預設值為 |
Max Alerts To Fetch |
選填。 每個連接器疊代要處理的快訊數量。 預設值為 |
Disable Event Splitting |
選填。 選取後,連接器不會將原始事件分割成多個部分,確保來源和 Google SecOps SOAR 的事件計數相符。 預設為停用。 |
Verify SSL |
必填。 選取這個選項後,整合服務會在連線至 Google SecOps SIEM 伺服器時驗證 SSL 憑證。 (預設為啟用)。 |
Proxy Server Address |
選填。 要使用的 Proxy 伺服器位址。 |
Proxy Username |
選填。 用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選填。 用於驗證的 Proxy 密碼。 |
Disable Overflow |
選填。 如果選取此選項,連接器會忽略 Google SecOps 溢位機制。 預設為停用。 |
連接器規則
Google Chronicle - Chronicle Alerts Connector 支援 Proxy。
連接器事件
Google Chronicle - Chronicle Alerts Connector 會處理 Google SecOps SIEM 的三種事件。
以規則為準的快訊
這個事件類型是由 Google SecOps SIEM 中的偵測規則產生。
{
"alert_type": "RULE",
"event_type": "NETWORK_DHCP",
"type": "RULE_DETECTION",
"detection": [
{
"ruleName": "d3_test",
"urlBackToProduct": "https://INSTANCE/ruleDetections?ruleId=ru_74dd17e2-5aad-4053-acd7-958bead014f2&selectedList=RuleDetectionsViewTimeline&selectedParentDetectionId=de_b5dadaf4-b398-325f-9f09-833b71b3ffbb&selectedTimestamp=2022-02-08T05:02:36Z&versionTimestamp=2020-11-19T18:19:11.951951Z",
"ruleId": "ru_74dd17e2-5aad-4053-acd7-958bead014f2",
"ruleVersion": "ru_74dd17e2-5aad-4053-acd7-958bead014f2@v_1605809951_951951000",
"alertState": "NOT_ALERTING",
"ruleType": "SINGLE_EVENT",
"ruleLabels": [
{
"key": "author",
"value": "analyst123"
},
{
"key": "description",
"value": "8:00 AM local time"
},
{
"key": "severity",
"value": "Medium"
}
]
}
],
"createdTime": "2022-02-08T06:07:33.944951Z",
"id": "de_b5dadaf4-b398-325f-9f09-833b71b3ffbb",
"timeWindow": {
"startTime": "2022-02-08T05:02:36Z",
"endTime": "2022-02-08T05:02:36Z"
},
"collectionElements": [
{
"references": [
{
"event": {
"metadata": {
"eventTimestamp": "2022-02-08T05:02:36Z",
"eventType": "NETWORK_DHCP",
"productName": "Infoblox DHCP",
"ingestedTimestamp": "2022-02-08T05:03:03.892234Z"
},
"principal": {
"ip": [
"198.51.100.255",
"198.51.100.1"
],
"mac": [
"01:23:45:ab:cd:ef"
],
"email_address": [
"example@example.com"
]
},
"target": {
"hostname": "dhcp_server",
"ip": [
"198.51.100.0",
"198.51.100.1"
]
},
"network": {
"applicationProtocol": "DHCP",
"dhcp": {
"opcode": "BOOTREQUEST",
"ciaddr": "198.51.100.255",
"giaddr": "198.51.100.0",
"chaddr": "01:23:45:ab:cd:ef",
"type": "REQUEST",
"clientHostname": "example-user-pc",
"clientIdentifier": "AFm/LDfjAw=="
}
}
}
}
],
"label": "e"
}
],
"detectionTime": "2022-02-08T05:02:36Z"
}
外部警報
這個事件類型是以擷取至 Google SecOps SIEM 的外部快訊為依據。
{
"alert_type": "External",
"event_type": "GENERIC_EVENT",
"name": "Authentication failure [32038]",
"sourceProduct": "Internal Alert",
"severity": "Medium",
"timestamp": "2020-09-30T18:03:34.898194Z",
"rawLog": "U2VwIDMwIDE4OjAzOjM0Ljg5ODE5NCAxMC4wLjI5LjEwOSBBdXRoZW50aWNhdGlvbiBmYWlsdXJlIFszMjAzOF0=",
"uri": [
"https://INSTANCE/assetResults?assetIdentifier=198.51.100.109&namespace=[untagged]&referenceTime=2020-09-30T18%3A03%3A34.898194Z&selectedList=AssetViewTimeline&startTime=2020-09-30T17%3A58%3A34.898194Z&endTime=2020-09-30T18%3A08%3A34.898194Z&selectedAlert=-610875602&selectedEventTimestamp=2020-09-30T18%3A03%3A34.898194Z"
],
"event": {
"metadata": {
"eventTimestamp": "2020-09-30T18:03:34.898194Z",
"eventType": "GENERIC_EVENT",
"productName": "Chronicle Internal",
"ingestedTimestamp": "2020-09-30T18:03:34.991592Z"
},
"target": [
{
"ip": [
"198.51.100.255",
"198.51.100.1"
]
}
],
"securityResult": [
{
"summary": "Authentication failure [32038]",
"severityDetails": "Medium"
}
]
}
}
IoC 警報
這個事件類型與預先定義的 IOC 清單相符。
{
"alert_type": "IOC",
"event_type": "IOC Alert",
"artifact": {
"domainName": "example.com"
},
"sources": [
{
"source": "Example List",
"confidenceScore": {
"normalizedConfidenceScore": "Low",
"intRawConfidenceScore": 0
},
"rawSeverity": "High",
"category": "Malware Command and Control Server"
}
],
"iocIngestTime": "2020-09-07T11:00:00Z",
"firstSeenTime": "2018-10-03T00:01:59Z",
"lastSeenTime": "2022-02-04T20:02:29.191Z",
"uri": [
"https://INSTANCE/domainResults?domain=example.com&selectedList=DomainViewDistinctAssets&whoIsTimestamp=2022-02-08T15%3A08%3A52.434022777Z"
]
}
快訊結構
下表說明 Google Chronicle - Chronicle Alerts Connector 如何在 Google SecOps 中填入快訊的屬性。為清楚起見,系統會依據快訊屬性的來源和快訊類型進行分組。
內部產生的屬性
這些屬性是由架構產生,且在所有快訊類型中都一致。
| 快訊屬性名稱 | 來源 |
|---|---|
SourceSystemName |
由架構內部產生。 |
TicketId |
該值取自 ids.json 檔案。 |
DisplayId |
系統會自動產生。 |
所有快訊類型的屬性
這些屬性衍生自來源快訊,但來源鍵會因快訊類型而異。
| 快訊屬性名稱 | 來源 |
|---|---|
Priority |
取自 API 回應或 Fallback Severity 參數。 |
DeviceVendor |
硬式編碼值為 Google Chronicle。 |
DeviceProduct |
根據警示類型硬式編碼的值:規則偵測警示為 RULE、IOC 比對為 IOC,外部警示則為 EXTERNAL。 |
Description |
如果是以規則為準的快訊,這項資訊會來自 detection/ruleLabels/description (如有)。不適用於其他快訊類型。 |
Reason |
不適用。 |
SourceGroupingIdentifier |
未提供。 |
Chronicle Alert - Attachments |
不適用。 |
特定快訊類型
這些屬性與快訊的來源相關,方便您瞭解每個屬性的填入方式。
| 快訊屬性名稱 | 以規則為準的快訊 | 以 IOC 為準的快訊 | 外部警報 |
|---|---|---|---|
Name |
detection/ruleName |
IOC Alert (硬式編碼) |
alertInfos/name |
RuleGenerator |
detection/ruleName |
IOC Alert (硬式編碼) |
alertInfos/name |
StartTime 和 EndTime |
timeWindow或startTime |
lastSeenTime |
timestamp |
Chronicle Alert - Extensions |
rule_id (ruleId)、product_name (事件或中繼資料的 CSV 檔案,或 productName 值) |
不適用 | alert_name (name)、product_name (UDM 事件或中繼資料的 CSV 檔案,或 productName 值) |
已淘汰:Google Chronicle - Alerts Connector
這個連接器會從 Google SecOps SIEM 提取資產快訊,並轉換為 Google SecOps SIEM 快訊。
您可以使用 Google 程式庫,透過 google.oauth2.service_account 和 AuthorizedSession 進行驗證。
這個連接器需要 Google SecOps SIEM Search API。
連接器輸入內容
| 參數 | 說明 |
|---|---|
Product Field Name |
必填。
儲存產品名稱的欄位名稱。 產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。 預設值為 |
Environment Field Name |
選填。 儲存環境名稱的欄位名稱。 如果缺少環境欄位,連接器會使用預設值。 預設值為 |
Environment Regex Pattern |
選填。 要在「 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Script Timeout (Seconds) |
必填。 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 |
Service Account Credentials |
必填。 服務帳戶 JSON 檔案的內容。 |
Fetch Max Hours Backwards |
選填。 擷取事件的初始連接器執行時間前的小時數。 這個參數只會套用一次。 最大值為 預設值為 |
已淘汰:Google Chronicle - IoCs Connector
請改用 Chronicle Alerts Connector。
這個連接器會從 Google SecOps SIEM 擷取 IOC 網域比對結果,並轉換為 Google SecOps SIEM 快訊。
您可以使用 Google 程式庫,透過 google.oauth2.service_account 和 AuthorizedSession 進行驗證。
這個連接器會使用 Google SecOps SIEM Search API。
連接器輸入內容
Google Chronicle - IoCs 連接器需要下列參數:
| 參數 | 說明 |
|---|---|
Product Field Name |
必填。
儲存產品名稱的欄位名稱。 產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。 預設值為 |
Environment Field Name |
選填。 儲存環境名稱的欄位名稱。 如果缺少環境欄位,連接器會使用預設值。 預設值為 |
Environment Regex Pattern |
選填。 要在「 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Script Timeout (Seconds) |
必填。 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 |
Service Account Credentials |
必填。 服務帳戶 JSON 檔案的內容。 |
Fetch Max Hours Backwards |
選填。 從初始連接器執行作業前幾小時開始擷取快訊。 這個參數只會套用一次。 最大值為 預設值為 |
Max Alerts To Fetch |
選填。 每次連接器疊代時要處理的快訊數量上限。 預設值為 |
| 追蹤的欄位 | 同步處理的欄位 |
|---|---|
Priority |
Priority |
Status |
Status |
Title |
Title |
| 不適用 | Stage |
| 不適用 | Google SecOps Case ID |
| 不適用 | Google SecOps Case ID |
Google SecOps 案件 ID 是 Google SecOps SOAR 和 Google SecOps SIEM 中的專屬案件 ID。
「Google Chronicle Sync Data」工作會追蹤並同步處理快訊的下列欄位:
| 追蹤的欄位 | 同步處理的欄位 |
|---|---|
Priority |
Priority |
Status |
Status |
Case ID |
不適用 |
| 不適用 | Google SecOps Alert ID |
| 不適用 | Google SecOps Case ID |
| 不適用 | Verdict |
| 不適用 | Closure Comment |
| 不適用 | Closure Reason |
| 不適用 | Closure Root Cause |
| 不適用 | Usefulness |
Google SecOps 快訊 ID 是 Google SecOps SOAR 中的專屬快訊 ID。
在一次疊代中,這項工作最多可同步處理 1,000 個案件和 1,000 則快訊。同步作業會在工作設定中指定的 Google SecOps SOAR 環境中進行。同步機制可確保指定環境的案件不會與其他環境同步。
設定 Google Chronicle Sync Data 工作
這項工作只會同步處理從 Google SecOps SIEM 擷取的 Google SecOps SOAR 案件。
請務必先完成前置步驟,再設定作業。
如要設定「Google Chronicle Sync Data」工作,請按照下列步驟操作:
在「Parameters」部分中,設定下列參數:
參數 說明 Environment必填。
在 Google SecOps SOAR 中建立的環境名稱,您要將案件和快訊同步到該環境。
API Root必填。
Google SecOps SIEM 執行個體的 API 根目錄。
Google SecOps 為每個 API 提供區域端點。
例如
https://europe-backstory.googleapis.com或https://asia-southeast1-backstory.googleapis.com。如果您不知道要使用哪個端點,請 [與 Cloud 客戶服務團隊聯絡](/chronicle/docs/getting-support)。
預設值為
https://backstory.googleapis.com。User's Service Account必填。
Google SecOps SIEM 執行個體的服務帳戶 JSON 檔案內容。
Max Hours Backwards選填。
要擷取快訊的小時數。只能使用正數。如果輸入 0 或負數,系統會回報錯誤。如果這個參數為空白,工作會使用預設值。
預設值為
24。Verify SSL必填。
選取後,Google SecOps 會驗證連線至 Google SecOps SIEM 伺服器的 SSL 憑證是否有效。建議選取這個選項。
(此為預設選項)。
「Google Chronicle Sync Data」工作預設為啟用。儲存正確設定的工作後,系統會立即開始與 Google SecOps SIEM 同步處理資料。如要停用工作,請切換工作名稱旁的切換鈕。
按一下「儲存」即可完成設定。
如果「儲存」按鈕無法使用,請確認你已設定所有必要參數。
選用:如要在儲存後立即執行工作,請按一下「立即執行」。
「立即執行」選項可觸發單一工作執行作業,將目前的 Google SecOps SOAR 快訊和案件資料與 Google SecOps SIEM 同步。
記錄訊息
下表列出 Google Chronicle 資料同步作業的可能記錄訊息:
| 記錄項目 | 類型 | 說明 |
|---|---|---|
Unable to parse credentials as JSON. Please validate creds.
|
錯誤 | User's Service Account 參數中提供的服務帳戶已損毀。 |
"Max Hours Backwards" parameter must be a positive number. |
錯誤 | Max Hours backwards 參數設為 0 或負數。 |
Current platform version does not support SDK methods designed for
Google SecOps. Please use version 6.1.33 or higher. |
錯誤 | 目前的 Google SecOps 平台執行個體版本不支援執行 Chronicle Sync Data 工作指令碼。這表示執行個體的建構版本舊於 6.1.33。 |
Unable to connect to Google SecOps, please validate
your credentials: CREDENTIALS |
錯誤 | 系統無法根據 Google SecOps SIEM 執行個體驗證服務帳戶或 API 根值。如果連線測試失敗,系統就會回報這項錯誤。 |
--- Start Processing Updated Cases --- |
資訊 | 案件處理迴圈已開始執行。 |
Last success time. Date time:DATE_AND_TIME.
Unix:UNIX_EPOCH_TIME
|
資訊 | 案件或快訊上次成功執行指令碼的時間戳記:
|
Key: "DATABASE_KEY" does not exist in the
database. Returning default
value instead: DEFAULT_VALUE |
資訊 | 資料庫中不存在待處理案件或快訊資料庫金鑰。 這個記錄項目一律會在指令碼的第一次執行中顯示。 |
Failed to parse data as JSON. Returning default value instead:
"DEFAULT_VALUE. ERROR:
ERROR |
錯誤 | 從資料庫擷取的值不是有效的 JSON 格式。 |
Exception was raised from the database. ERROR:
ERROR. |
錯誤 | 資料庫連線發生問題。 |
|
資訊 | 已從待處理事項中成功擷取待處理案件或快訊 ID。 CASE_IDS 是帶入的案件 ID 數量。 |
|
錯誤 | 從資料庫擷取的待處理案件或警報 ID 數量超過上限 (1000 個)。超出限制的 ID 會遭到忽略。 這項錯誤可能表示資料庫已損毀。 |
|
資訊 | 已從平台成功擷取新更新的案件或快訊 ID。 |
|
資訊 | Google SecOps SIEM 執行個體已開始更新案件和警示。 |
|
錯誤 | 指定的案件或快訊無法與 Google SecOps SIEM 同步。 |
|
資訊 | 指定的待處理案件或快訊已達到同步重試次數上限 (5 次),因此不會重新插入待處理事項。 |
|
資訊 | 無法與 Google SecOps SIEM 同步處理的案件或快訊 ID 清單。 |
Updated External Case IDs for the following cases:
CASE_IDS |
資訊 | 這份清單列出工作更新相符 Google SecOps SIEM 外部案件 ID 的案件,這些案件位於 Google SecOps SOAR 平台。 |
Failed to update external ids. |
錯誤 | 記錄項目指出 SDK 方法或連線發生問題,導致平台無法更新外部案件 ID。 |
|
錯誤 | 記錄項目指出發生特定終止錯誤,導致案件或快訊處理迴圈無法自然結束。這個記錄後方會列印堆疊追蹤記錄,並顯示具體錯誤。 |
|
資訊 | 案件和快訊處理迴圈已完成,可能是自然完成,也可能是發生錯誤。 |
|
錯誤 | 失敗案件或快訊 ID 清單,重試次數小於或等於 5,將寫回待處理事項。 |
|
資訊 | 案件和快訊的處理階段已完成。 |
Saving timestamps. |
資訊 | 將上次成功更新案件和快訊的時間戳記儲存至資料庫。 |
Saving pending ids. |
資訊 | 將待處理案件和快訊 ID 儲存至資料庫。 |
Got exception on main handler. Error:
ERROR_REASON |
錯誤 | 發生一般終止錯誤。這個記錄後方會列印堆疊追蹤記錄,並顯示具體錯誤。 |
Google Chronicle Alerts Creator 工作
Google Chronicle Alerts Creator 工作需要 Google SecOps 平台 6.2.30 以上版本。
這項工作會將 Google SecOps SOAR 的所有快訊 (包括溢位快訊) 傳送至 Google SecOps SIEM。Google Chronicle Alerts Creator 工作不會複製來自 Google SecOps 的快訊。
Google Chronicle Alerts Creator 作業會使用 Python SDK 查詢 SOAR 平台,找出未同步的快訊。這項工作會將非同步快訊個別傳送至 SIEM。SIEM 會更新並傳回對應 SIEM 快訊的 ID,而 SOAR 則會透過 Python SDK,使用 SOAR 平台 API 儲存這些 ID。
Google Chronicle 工作之間的關係
完整的 Google SecOps 系統會同時執行下列三個元件:
- Chronicle Alerts Connector
- Google Chronicle Sync Data 工作
- Google Chronicle Alerts Creator 工作
「Google Chronicle Sync Data」工作會建立及同步處理案件。此外,這項功能也會同步處理案件和快訊的修改內容,例如優先順序變更。
Google Chronicle Alerts Creator 工作會產生所有快訊,但 SIEM 快訊除外。Google Chronicle Sync Data 工作會在 Google Chronicle Alerts Creator 工作建立快訊後,傳送未同步快訊的更新。
案件和快訊資料同步
案件的同步方式與Google Chronicle Sync Data 工作相同。
在 Google SecOps SIEM 中,每則快訊都會以 SIEM 快訊 ID 識別。在下列兩種情況下,SOAR 快訊可以採用 SIEM ID:
SIEM 中會產生快訊。
Google SecOps SIEM 中已有這則快訊,因此不必重複建立。連接器會填入
siem_alert_id欄位。在第三方連接器中產生快訊。
Google SecOps SIEM 中沒有這項快訊,因此需要執行明確的同步作業,而這項作業是由 Google Chronicle 快訊建立工具工作負責。完成同步作業後,快訊會取得新的 SIEM ID。
設定 Google Chronicle Alerts Creator 工作
請務必先完成前置步驟,再設定作業。
如要設定 Google Chronicle Alerts Creator 工作,請按照下列步驟操作:
從下表設定工作參數:
參數 說明 Environment必填。
在 Google SecOps SOAR 中建立的環境名稱,您要將案件和快訊同步到該環境。
API Root必填。
Google SecOps SIEM 執行個體的 API 根目錄。
Google SecOps 為每個 API 提供區域端點。
例如
https://europe-backstory.googleapis.com或https://asia-southeast1-backstory.googleapis.com。如果您不知道要使用哪個端點,請 [與 Cloud 客戶服務團隊聯絡](/chronicle/docs/getting-support)。
預設值為
https://backstory.googleapis.com。User's Service Account必填。
Google SecOps SIEM 執行個體的服務帳戶 JSON 檔案內容。
Verify SSL必填。
選取後,Google SecOps 會驗證連線至 Google SecOps SIEM 伺服器的 SSL 憑證是否有效。建議選取這個選項。
(此為預設選項)。
按一下「儲存」即可完成設定。
如果「儲存」按鈕無法使用,請確認你已設定所有必要參數。
選用:如要在儲存後立即執行工作,請按一下「立即執行」。
「立即執行」選項可觸發單一工作執行作業,將目前的 Google SecOps SOAR 快訊和案件資料與 Google SecOps SIEM 同步。
記錄訊息和錯誤處理
| 記錄 | 等級 | 說明 |
|---|---|---|
|
錯誤 | User's Service Account 參數中提供的服務帳戶已損毀。 |
|
錯誤 | 目前的 Google SecOps 平台執行個體版本不支援執行 Google Chronicle Alerts Creator Job 指令碼。這個錯誤表示執行個體建構版本早於 6.2.30。 |
|
錯誤 | 服務帳戶或 API 根值無法針對 Google SecOps SIEM 執行個體進行驗證。如果連線測試失敗,系統就會回報這項錯誤。 |
|
資訊 | 指出工作已開始的記錄檔訊息。 |
|
資訊 | 記錄訊息,指出主要函式已啟動。 |
|
資訊 | 記錄訊息,指出目前連續嘗試的疊代次數。 |
|
資訊 | 記錄訊息,指出程式碼從 SOAR 擷取的警報數量未超過 BATCH_SIZE 個。 |
|
資訊 | 記錄訊息,指出已擷取 NUMBER_OF_NEW_ALERTS SOAR 快訊。 |
|
資訊 | 記錄訊息:表示系統未發現新的 SOAR 快訊,因此工作將停止。 |
|
資訊 | 記錄訊息,指出工作已擷取 SOAR 警報,且 ID 清單中包含下列 ID。您可以利用這些資訊追蹤工作進度,以及排解程式碼問題。 |
|
資訊 | 記錄訊息,指出工作正在將 SOAR 快訊派送至 SIEM。 |
|
錯誤 | 記錄訊息:指出由於發生錯誤,系統未在 SIEM 中成功建立快訊。 |
|
資訊 | 記錄訊息,指出工作正在使用 SIEM 回覆更新 SOAR。 |
|
警告 | 表示 SOAR 無法更新快訊同步狀態。 |
|
資訊 | 記錄訊息,指出在目前執行中同步處理的快訊總數為 total_synced。 |
|
資訊 | 指出工作已完成的記錄訊息。 |
|
錯誤 | 記錄訊息,指出主函式發生例外狀況。 記錄訊息中會包含例外狀況訊息。 |
用途
透過 Google Chronicle 整合,您可以執行下列用途:
- Chronicle Windows 威脅調查與回應
- Security Command Center 和 Chronicle Cloud DIR
安裝用途
在 Google SecOps Marketplace 中,前往「Use Cases」分頁標籤。
在搜尋欄位中輸入用途名稱。
按一下用途。
按照安裝精靈中的設定步驟和指示操作。
完成後,所有必要元件都會安裝在 Google SecOps 電腦上。如要完成安裝程序,請在與用途相符的劇本中,設定「Initialization」區塊。
Chronicle Windows 威脅調查與回應
運用 Google SecOps 的強大功能,即時回應環境中的 Windows 威脅。資安團隊可透過 Google Security Operations 專屬威脅情報,搭配 Google Security Operations 使用高準確度的威脅情報服務。現在,系統會自動對環境中的實際威脅進行分類,並在短時間內有效完成補救措施。
在 Google SecOps 中,依序前往「Response」>「Playbooks」。
選取「Google Chronicle - Windows Threats Investigation & Response」劇本。應對手冊會在應對手冊設計工具檢視畫面中開啟。
按兩下「Set Initialization Block_1」。系統會開啟方塊設定對話方塊。
如要設定劇本,請使用下列參數:
輸入參數 可能的值 說明 edr_product- CrowdStrike
- Carbon Black
- 無
要在應對手冊中使用的 EDR 產品。 itsm_product- Service Now
- Jira
- ZenDesk
- 無
應對手冊中使用的 ITSM 產品。Jira 需要在「開啟工單」方塊中進行額外設定。 crowdstrike_use_spotlightTrue或False如果 True,應對手冊會執行需要 Spotlight 授權的 Crowdstrike 動作 (漏洞資訊)。use_mandiantTrue或False如果 True,應對手冊會執行 Mandiant 區塊。slack_user使用者名稱或電子郵件地址 Slack 使用者的使用者名稱或電子郵件地址。如未提供,應對手冊會略過 Slack 區塊。 按一下 [儲存]。方塊設定對話方塊隨即關閉。
在 Playbook 設計工具窗格中,按一下「儲存」。
如要在實務應用中測試劇本,請擷取套件中包含的測試案例。如果測試所用的資料在您的環境中無法使用,部分測試案例功能可能會失敗。
Security Command Center 和 Chronicle Cloud DIR
將 Security Command Center 與 Google SecOps SIEM 整合,讓分析師調查 Security Command Center 偵測到的事件和威脅。
設定用途
如要使用這個用途,您必須設定下列整合:
- Siemplify
- 工具
- Mitre ATT&CK
- Google Cloud IAM
- Google Chronicle
- 函式
- Google Cloud Compute
- 電子郵件 V2
- VirusTotal v3
Google Security Command Center 和 Mandiant 整合功能為選用功能。
請務必安裝用例,再進行設定。
- 在 Google SecOps 中,前往「Playbooks」(劇本) 分頁標籤。
- 選取「SCC & Chronicle Cloud DIR」劇本。
- 按兩下「初始化區塊」即可設定。
- 使用下列參數設定劇本:
| 參數名稱 | 可能的值 | 說明 |
|---|---|---|
Mandiant_Enrichment |
True或False |
如果 如要進行這項設定,必須先設定 Mandiant 整合。如果很少收到有意義的資訊,可以移除強化功能。移除擴充區塊可提升應對手冊的執行速度。 |
SCC_Enrichment |
True或False |
如果 您必須為這項設定檔設定 Security Command Center 整合功能。如果很少收到有意義的資訊,可以移除強化功能。移除擴充區塊可提升應對手冊的執行速度。 |
IAM_Enrichment |
True或False |
如果 True,應對手冊會使用 IAM 功能進行額外擴充。如果很少獲得有意義的資訊,可以移除強化功能。移除擴充區塊可提升應對手冊的執行速度。 |
Compute_Enrichment |
True或False |
如果 True,劇本會使用 Compute Engine 功能進行額外擴充。如果很少收到有意義的資訊,可以移除強化功能。移除擴充區塊可提升應對手冊的執行速度。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。