Beispielintegration in Google SecOps einbinden

Dieses Dokument ist ein umfassender Leitfaden für eine Beispielintegration, in der gängige Designmuster für das Erstellen von Aktionen, Connectors und Jobs für Google Security Operations (Google SecOps) veranschaulicht werden.

Integrationsversion: 1.0

Integrationsparameter

Für die Beispielintegration sind die folgenden Parameter erforderlich:

Parameter Beschreibung
API Root

Erforderlich.

Der API-Stamm für die Integrationsinstanz.

In diesem Beispiel wird der Dienst VAT Comply verwendet, um die Integration mit dem API-Stamm api.vatcomply.com vorzunehmen.

Der Standardwert ist http://api.vatcomply.com.
Password Field

Optional.

Beispiel für ein API-Passwortfeld

Dieser Parameter ist nur zu Demonstrationszwecken enthalten und wird von der API nicht für die Authentifizierung benötigt.

Der Standardwert ist Google SecOps.
Verify SSL

Erforderlich.

Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat des API-Servers validiert.

Standardmäßig ausgewählt.

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zur Integration zu testen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall‑Repository Nicht verfügbar
Link zum Fall-Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Nicht verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis. Verfügbar
Ausgabenachrichten

Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully connected to the API Service server with the provided connection parameters!

 Die Aktion wurde erfolgreich ausgeführt.
Failed to connect to the API Service server! Error is ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:

Name des Scriptergebnisses Wert
is_success True oder False

Beispiel für eine einfache Aktion

Dies ist ein Beispiel für eine einfache Aktion in Google SecOps.

Mit dieser Aktion werden Daten aus dem Dienst api.vatcomply.com basierend auf den angegebenen Parametern abgerufen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Parameter Beschreibung
Currencies String

Dies ist ein Beispiel für einen Parameter, der eine durch Kommas getrennte Liste von Werten akzeptiert.

Optional.

Eine durch Kommas getrennte Liste der zu verarbeitenden Währungen.

Der Standardwert ist USD, EUR.
Currencies DDL

Dies ist ein Beispiel für einen Parameter, für den eine Drop-down-Liste mit Werten verfügbar ist.

Optional.

Eine Drop-down-Liste mit Währungen, die verarbeitet werden sollen.

Der Standardwert ist Select One.

Die möglichen Werte sind:

  • Select One
  • USD
  • EUR
  • CAD
Time Frame

Optional.

Der Zeitraum für die Ergebnisse.

Der Standardwert ist Today.

Die möglichen Werte sind:

  • Today
  • Last 7 Days
  • Custom

Wenn Sie Custom auswählen, müssen Sie auch einen Wert für den Parameter Start Time angeben.
Start Time

Optional.

Die Startzeit für die Ergebnisse im ISO 8601-Format.

Dieser Parameter ist erforderlich, wenn Sie für den Parameter Time Frame die Option Custom auswählen.

Der Zeitraum zwischen Start Time und End Time darf nicht länger als sieben Tage sein.

Bei der Aktion wird nur der Datumsanteil des Zeitstempels verwendet.
End Time

Optional.

Die Endzeit für die Ergebnisse im ISO 8601-Format.

Wenn Sie Custom für Time Frame auswählen und keinen Wert angeben, wird die aktuelle Zeit für die Aktion verwendet.

Der Zeitraum zwischen Start Time und End Time darf nicht länger als sieben Tage sein.

Bei der Aktion wird nur der Datumsanteil des Zeitstempels verwendet.
Return JSON Result

Dies ist ein Beispiel für eine boolesche Eingabe.

Optional.

Wenn diese Option aktiviert ist, gibt die Aktion ein JSON-Ergebnis zurück.

Standardmäßig ausgewählt.

Aktionsausgaben

Die Aktion Suchdiagramme liefert die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall‑Repository Verfügbar
Link zum Fall-Repository Verfügbar
Tabelle „Fall-Repository“ Verfügbar
Anreicherungstabelle Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar

Die Aktion gibt den folgenden Link zurück:

  • Währung: https://www.vatcomply.com/currencies/BASE_CURRENCY/date/DATE
Tabelle „Fall-Repository“

Die Aktion stellt für jede API-Antwort die folgende Tabelle bereit:

Tabellenname: Währung: {base} – {date}

Tabellenspalten:

  • Währung (rate.keyname)
  • Wert (rate.keyname.value)
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion empfangen wird:

[
   {
       "date": "2000-03-03",
       "exchange_rates": [
           {
               "base": "USD",
               "rates": {
                   "EUR": 1.035303861683404,
                   "USD": 1.0,
                   "JPY": 107.8476032715602,
                   "CYP": 0.5955481933947614,
                   "CZK": 36.87752355316285,
                   "DKK": 7.711357283362667,
                   "EEK": 16.19898540221555,
                   "GBP": 0.6332953721917383,
                   "HUF": 265.60720571487735,
                   "LTL": 4.001035303861683,
                   "LVL": 0.5954032508541256,
                   "MTL": 0.4235428098146806,
                   "PLN": 4.125168236877524,
                   "ROL": 18961.590226731547,
                   "SEK": 8.769023708458434,
                   "SIT": 209.5625841184388,
                   "SKK": 43.26845429133451,
                   "CHF": 1.6630085930220522,
                   "ISK": 73.39269075473652,
                   "NOK": 8.369396417848638,
                   "TRL": 574745.8329019567,
                   "AUD": 1.647479035096801,
                   "CAD": 1.454705456051351,
                   "HKD": 7.782379128274149,
                   "KRW": 1119.9503054146392,
                   "NZD": 2.0485557511129517,
                   "SGD": 1.7232632777720263,
                   "ZAR": 6.4730303344031475
               }
           },
           {
               "base": "EUR",
               "rates": {
                   "EUR": 1.0,
                   "USD": 0.9659,
                   "JPY": 104.17,
                   "CYP": 0.57524,
                   "CZK": 35.62,
                   "DKK": 7.4484,
                   "EEK": 15.6466,
                   "GBP": 0.6117,
                   "HUF": 256.55,
                   "LTL": 3.8646,
                   "LVL": 0.5751,
                   "MTL": 0.4091,
                   "PLN": 3.9845,
                   "ROL": 18315.0,
                   "SEK": 8.47,
                   "SIT": 202.4165,
                   "SKK": 41.793,
                   "CHF": 1.6063,
                   "ISK": 70.89,
                   "NOK": 8.084,
                   "TRL": 555147.0,
                   "AUD": 1.5913,
                   "CAD": 1.4051,
                   "HKD": 7.517,
                   "KRW": 1081.76,
                   "NZD": 1.9787,
                   "SGD": 1.6645,
                   "ZAR": 6.2523
               }
           }
       ]
   }
]
Ausgabenachrichten

Die Aktion kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully returned information about the following currencies from START_TIME to END_TIME: "CURRENCIES"

 Die Aktion wurde erfolgreich ausgeführt.
Error executing action "ACTION_NAME". Reason: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion verwendet wird:

Name des Scriptergebnisses Wert
is_success True oder False

Beispiel für die Aktion „Entität anreichern“

Dies ist ein Beispiel für eine Aktion, die mit Entitäten in Google SecOps funktioniert und diese anreichert.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt, die im Parameter Entity Type angegeben sind.

Aktionseingaben

Für die Aktion Enrich Entity sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Entity Type

Erforderlich.

Die Entitäten aus dem Bereich der Benachrichtigung, die verarbeitet werden sollen.

Der Standardwert ist All Entities.

Die möglichen Werte sind:

  • IP
  • Hash
  • User

Aktionsausgaben

Die Aktion Enrich Entity (Entität anreichern) liefert die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall‑Repository Nicht verfügbar
Link zum Fall-Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Tabelle zur Elementanreicherung Verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
Tabelle zur Elementanreicherung

Die Aktion Enrich Entity unterstützt die folgenden Anreicherungen für Entitäten:

Anreicherungsfeld Quelle (JSON-Schlüssel) Gültigkeit
SampleIntegration_enriched true Wenn im JSON-Ergebnis verfügbar.
SampleIntegration_timestamp timestamp Wenn im JSON-Ergebnis verfügbar.
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Enrich Entity (Entität anreichern) empfangen wird:

{
   "Entity": "Entity",
   "EntityResult": [
       {
           "enriched": "true",
           "timestamp": "12123213123"
       }
   ]
}
Ausgabenachrichten

Die Aktion Enrich Entity kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

Successfully enriched the following entities: ENTITIES

 Die Aktion wurde erfolgreich ausgeführt.
No eligible entities were found in the scope of the alert.

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Enrich Entity (Entität anreichern) verwendet wird:

Name des Scriptergebnisses Wert
is_success True oder False

Beispiel für einen asynchronen Vorgang

Dies ist ein Beispiel für eine asynchrone Aktion in Google SecOps.

Die Ausführung der Aktion wird erst abgeschlossen, wenn das Zeitlimit erreicht ist oder die Fälle ein Tag haben, das im Parameter Case Tag To Wait For angegeben ist.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Async sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Case IDs

Optional.

Eine durch Kommas getrennte Liste der zu bearbeitenden Fälle.

Wenn nichts angegeben ist, wird die Fall-ID verwendet, über die die Aktion ausgeführt wurde.
Case Tag To Wait For

Erforderlich.

Die Aktion wartet, bis Fälle mit diesem Wert getaggt werden, bevor sie abgeschlossen wird.

Aktionsausgaben

Die Async-Aktion bietet die folgenden Ausgaben:

Ausgabetyp der Aktion Verfügbarkeit
Anhang im Fall‑Repository Nicht verfügbar
Link zum Fall-Repository Nicht verfügbar
Tabelle „Fall-Repository“ Nicht verfügbar
Tabelle zur Elementanreicherung Nicht verfügbar
JSON-Ergebnis Verfügbar
Ausgabenachrichten Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion Async empfangen wird:

[{
   "case_id": "123",
   "tags": ["Async"]
}, {
   "case_id": "123",
   "tags": ["Async"]
},]
Ausgabenachrichten

Die Async-Aktion kann die folgenden Ausgabenachrichten zurückgeben:

Ausgabemeldung Nachrichtenbeschreibung

The following cases have tag TAG: CASE_ID

 Die Aktion wurde erfolgreich ausgeführt.
Error executing action "Async Action Example". Reason: ERROR_REASON

Die Aktion ist fehlgeschlagen.

Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.
Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Async aufgeführt:

Name des Scriptergebnisses Wert
is_success True oder False

Connectors

Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).

Beispielintegration – Einfaches Connector-Beispiel

Verwenden Sie die Beispielintegration – Einfaches Connectorbeispiel, um Währungskurse und andere Daten aus dem Dienst api.vatcomply.com abzurufen.

Verwenden Sie den Parameter alert_type, um mit einer dynamischen Liste zu arbeiten.

Connector-Eingaben

Für den Google Threat Intelligence – DTM Alerts Connector sind die folgenden Parameter erforderlich:

Parameter Beschreibung
Product Field Name

Erforderlich.

Der Name des Felds, in dem der Produktname gespeichert ist.

Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst.

Der Standardwert ist Product Name.
Event Field Name

Erforderlich.

Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt.

Der Standardwert ist event_type.
Environment Field Name

Optional.

Der Name des Felds, in dem der Name der Umgebung gespeichert ist.

Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet.

Der Standardwert ist "".
Environment Regex Pattern

Optional.

Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Environment Field Name angewendet wird. Mit diesem Parameter können Sie das Feld „Umgebung“ mithilfe der Logik für reguläre Ausdrücke bearbeiten.

Verwenden Sie den Standardwert .*, um den erforderlichen Rohwert Environment Field Name abzurufen.

Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung.
Script Timeout (Seconds)

Erforderlich.

Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird.

Der Standardwert ist 180.
API Root

Erforderlich.

Der API-Stamm für die Integrationsinstanz.

In diesem Beispiel wird der Dienst [VAT Comply](https://www.vatcomply.com/) mit dem API-Stamm `api.vatcomply.com` verwendet.

Der Standardwert ist http://api.vatcomply.com.
Password Field

Optional.

Beispiel für ein API-Passwortfeld

Dieser Parameter ist nur zu Demonstrationszwecken enthalten und wird von der API nicht für die Authentifizierung benötigt.

Der Standardwert ist Google SecOps.
Currencies To Fetch

Optional.

Die abzurufenden Währungswechselkurse.

Der Standardwert ist USD, EUR.
Create Alert Per Exchange Rate

Optional.

Wenn diese Option aktiviert ist, erstellt der Connector für jeden Wechselkurs eine separate Benachrichtigung.
Alert Severity

Optional.

Der Schweregrad der Benachrichtigung.

Die möglichen Werte sind:

  • Critical
  • High
  • Medium
  • Low
  • Informational

Der Standardwert ist Informational.
Add Attachment

Optional.

Wenn diese Option aktiviert ist, fügt der Connector der Benachrichtigung ein JSON-Objekt hinzu.

Der Standardwert ist True.
Max Days Backwards

Erforderlich.

Die Anzahl der Tage, die beim Abrufen von Benachrichtigungen berücksichtigt werden sollen.

Der Höchstwert ist 30.

Der Standardwert ist 1.
Max Alerts To Fetch

Erforderlich.

Die Anzahl der Warnungen, die in jeder Connector-Iteration verarbeitet werden sollen.

Der Standardwert ist 3.
Use dynamic list as a blocklist

Erforderlich.

Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Sperrliste.

Diese Option ist standardmäßig nicht ausgewählt.
Disable Overflow

Optional.

Wenn diese Option ausgewählt ist, ignoriert der Connector den Google SecOps-Überlaufmechanismus.

Standardmäßig ausgewählt.
Verify SSL

Erforderlich.

Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat des API-Servers validiert.

Standardmäßig ausgewählt.
Proxy Server Address

Optional.

Die Adresse des zu verwendenden Proxyservers.
Proxy Username

Optional.

Der Proxy-Nutzername für die Authentifizierung.
Proxy Password

Optional.

Das Proxy-Passwort für die Authentifizierung.

Jobs

Die Beispielintegration ermöglicht die Verwendung des folgenden Jobs:

Einfaches Jobbeispiel

Verwenden Sie den Job Simple Job Example, um Fälle automatisch zu verwalten.

Diese Stelle hat zwei primäre Funktionen:

  • Schließe einen Fall, wenn er das Tag Closed hat.

  • Fügen Sie einem Fall einen Kommentar hinzu, wenn er das Tag Currency hat.

Job-Eingaben

Verwenden Sie die folgenden Parameter, um diesen Job zu konfigurieren:

Parameter
API Root

Erforderlich.

Der API-Stamm für die Integrationsinstanz.

In diesem Beispiel wird der Dienst [VAT Comply](https://www.vatcomply.com/) mit dem API-Stamm `api.vatcomply.com` verwendet.

Der Standardwert ist http://api.vatcomply.com.
Password Field

Optional.

Beispiel für ein API-Passwortfeld

Dieser Parameter ist nur zu Demonstrationszwecken enthalten und wird von der API nicht für die Authentifizierung benötigt.

Der Standardwert ist Google SecOps.
Verify SSL

Erforderlich.

Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat des API-Servers validiert.

Standardmäßig ausgewählt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten