Integra una integración de muestra con Google SecOps

Este documento es una guía integral para una integración de muestra que demuestra patrones de diseño comunes para compilar acciones, conectores y trabajos para Google Security Operations (Google SecOps).

Parámetros de integración

La integración de muestra requiere los siguientes parámetros:

Parámetro Descripción
API Root

Obligatorio.

Es la raíz de la API para la instancia de integración.

En este caso de ejemplo, se usa el servicio VAT Comply para realizar la integración con la raíz de la API api.vatcomply.com.

El valor predeterminado es http://api.vatcomply.com.
Password Field

Es opcional.

Un ejemplo de campo de contraseña de la API.

Este parámetro se incluye solo con fines de demostración y la API no lo requiere para la autenticación.

El valor predeterminado es Google SecOps.
Verify SSL

Obligatorio.

Si se selecciona, la acción valida el certificado SSL del servidor de la API.

Esta opción se selecciona de forma predeterminada.

Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los playbooks. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.

Ping

Usa la acción Ping para probar la conectividad a la integración.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Ping proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Es el resultado de la secuencia de comandos. Disponible
Mensajes de salida

La acción Ping puede mostrar los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Successfully connected to the API Service server with the provided connection parameters!

 La acción se completó correctamente.
Failed to connect to the API Service server! Error is ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Ejemplo de acción simple

Este es un ejemplo de una acción básica en Google SecOps.

Esta acción recupera datos del servicio api.vatcomply.com según los parámetros proporcionados.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

Parámetro Descripción
Currencies String

Este es un ejemplo de un parámetro que acepta una lista de valores separados por comas.

Es opcional.

Es una lista de monedas separadas por comas que se procesarán.

El valor predeterminado es USD, EUR.
Currencies DDL

Este es un ejemplo de un parámetro que acepta una lista desplegable de valores.

Es opcional.

Es una lista desplegable de monedas para procesar.

El valor predeterminado es Select One.

Los siguientes son los valores posibles:

  • Select One
  • USD
  • EUR
  • CAD
Time Frame

Es opcional.

Es el período de los resultados.

El valor predeterminado es Today.

Los siguientes son los valores posibles:

  • Today
  • Last 7 Days
  • Custom

Si seleccionas Custom, también debes proporcionar un valor para el parámetro Start Time.
Start Time

Es opcional.

Es la hora de inicio de los resultados en formato ISO 8601.

Este parámetro es obligatorio si seleccionas Custom para el parámetro Time Frame.

El período entre Start Time y End Time no puede ser superior a siete días.

La acción solo usa la parte de la fecha de la marca de tiempo.
End Time

Es opcional.

Es la hora de finalización de los resultados en formato ISO 8601.

Si seleccionas Custom para Time Frame y no proporcionas un valor, la acción usará la hora actual.

El período entre Start Time y End Time no puede ser superior a siete días.

La acción solo usa la parte de la fecha de la marca de tiempo.
Return JSON Result

Este es un ejemplo de una entrada booleana.

Es opcional.

Si está habilitada, la acción devuelve un resultado JSON.

Esta opción se selecciona de forma predeterminada.

Resultados de la acción

La acción Search Graphs proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos Disponible
Vínculo al muro de casos Disponible
Tabla del muro de casos Disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible

La acción devuelve el siguiente vínculo:

  • Moneda: https://www.vatcomply.com/currencies/BASE_CURRENCY/date/DATE
Tabla del muro de casos

La acción proporciona la siguiente tabla para cada respuesta de la API:

Nombre de la tabla: Moneda: {base} - {date}

Columnas de la tabla:

  • Moneda (rate.keyname)
  • Valor (rate.keyname.value)
Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción:

[
   {
       "date": "2000-03-03",
       "exchange_rates": [
           {
               "base": "USD",
               "rates": {
                   "EUR": 1.035303861683404,
                   "USD": 1.0,
                   "JPY": 107.8476032715602,
                   "CYP": 0.5955481933947614,
                   "CZK": 36.87752355316285,
                   "DKK": 7.711357283362667,
                   "EEK": 16.19898540221555,
                   "GBP": 0.6332953721917383,
                   "HUF": 265.60720571487735,
                   "LTL": 4.001035303861683,
                   "LVL": 0.5954032508541256,
                   "MTL": 0.4235428098146806,
                   "PLN": 4.125168236877524,
                   "ROL": 18961.590226731547,
                   "SEK": 8.769023708458434,
                   "SIT": 209.5625841184388,
                   "SKK": 43.26845429133451,
                   "CHF": 1.6630085930220522,
                   "ISK": 73.39269075473652,
                   "NOK": 8.369396417848638,
                   "TRL": 574745.8329019567,
                   "AUD": 1.647479035096801,
                   "CAD": 1.454705456051351,
                   "HKD": 7.782379128274149,
                   "KRW": 1119.9503054146392,
                   "NZD": 2.0485557511129517,
                   "SGD": 1.7232632777720263,
                   "ZAR": 6.4730303344031475
               }
           },
           {
               "base": "EUR",
               "rates": {
                   "EUR": 1.0,
                   "USD": 0.9659,
                   "JPY": 104.17,
                   "CYP": 0.57524,
                   "CZK": 35.62,
                   "DKK": 7.4484,
                   "EEK": 15.6466,
                   "GBP": 0.6117,
                   "HUF": 256.55,
                   "LTL": 3.8646,
                   "LVL": 0.5751,
                   "MTL": 0.4091,
                   "PLN": 3.9845,
                   "ROL": 18315.0,
                   "SEK": 8.47,
                   "SIT": 202.4165,
                   "SKK": 41.793,
                   "CHF": 1.6063,
                   "ISK": 70.89,
                   "NOK": 8.084,
                   "TRL": 555147.0,
                   "AUD": 1.5913,
                   "CAD": 1.4051,
                   "HKD": 7.517,
                   "KRW": 1081.76,
                   "NZD": 1.9787,
                   "SGD": 1.6645,
                   "ZAR": 6.2523
               }
           }
       ]
   }
]
Mensajes de salida

La acción puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Successfully returned information about the following currencies from START_TIME to END_TIME: "CURRENCIES"

 La acción se completó correctamente.
Error executing action "ACTION_NAME". Reason: ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Ejemplo de acción de enriquecimiento de entidad

Este es un ejemplo de una acción que funciona con entidades en Google SecOps y las enriquece.

Esta acción se ejecuta en todas las entidades de SecOps de Google proporcionadas en el parámetro Entity Type.

Entradas de acción

La acción Enrich Entity requiere los siguientes parámetros:

Parámetro Descripción
Entity Type

Obligatorio.

Son las entidades del alcance de la alerta que se deben procesar.

El valor predeterminado es All Entities.

Los siguientes son los valores posibles:

  • IP
  • Hash
  • User

Resultados de la acción

La acción Enrich Entity proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento de entidades Disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Tabla de enriquecimiento de entidades

La acción Enrich Entity admite el siguiente enriquecimiento para las entidades:

Campo de enriquecimiento Fuente (clave JSON) Aplicabilidad
SampleIntegration_enriched true Cuando está disponible en el resultado JSON.
SampleIntegration_timestamp timestamp Cuando está disponible en el resultado JSON.
Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Enrich Entity:

{
   "Entity": "Entity",
   "EntityResult": [
       {
           "enriched": "true",
           "timestamp": "12123213123"
       }
   ]
}
Mensajes de salida

La acción Enrich Entity puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

Successfully enriched the following entities: ENTITIES

 La acción se completó correctamente.
No eligible entities were found in the scope of the alert.

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Enrich Entity:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Ejemplo de acción asíncrona

Este es un ejemplo de una acción asíncrona en Google SecOps.

La acción no finalizará su ejecución hasta que se alcance el tiempo de espera o los casos tengan una etiqueta especificada en el parámetro Case Tag To Wait For.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Async requiere los siguientes parámetros:

Parámetro Descripción
Case IDs

Es opcional.

Es una lista de casos separados por comas que se deben controlar.

Si no se proporciona nada, la acción usa el ID del caso desde el que se ejecutó.
Case Tag To Wait For

Obligatorio.

La acción espera a que los casos se etiqueten con este valor antes de finalizar la ejecución.

Resultados de la acción

La acción Async proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del muro de casos No disponible
Vínculo al muro de casos No disponible
Tabla del muro de casos No disponible
Tabla de enriquecimiento de entidades No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Async:

[{
   "case_id": "123",
   "tags": ["Async"]
}, {
   "case_id": "123",
   "tags": ["Async"]
},]
Mensajes de salida

La acción Async puede devolver los siguientes mensajes de salida:

Mensaje de salida Descripción del mensaje

The following cases have tag TAG: CASE_ID

 La acción se completó correctamente.
Error executing action "Async Action Example". Reason: ERROR_REASON

No se pudo realizar la acción.

Verifica la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Async:

Nombre del resultado de la secuencia de comandos Valor
is_success True o False

Conectores

Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).

Integración de muestra: Ejemplo de conector simple

Usa la Integración de muestra: Ejemplo de conector simple para recuperar tipos de cambio y otros datos del servicio api.vatcomply.com.

Para trabajar con una lista dinámica, usa el parámetro alert_type.

Entradas del conector

El conector de alertas de Digital Threat Monitoring de Google Threat Intelligence requiere los siguientes parámetros:

Parámetro Descripción
Product Field Name

Obligatorio.

Es el nombre del campo en el que se almacena el nombre del producto.

El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo.

El valor predeterminado es Product Name.
Event Field Name

Obligatorio.

Es el nombre del campo que determina el nombre del evento (subtipo).

El valor predeterminado es event_type.
Environment Field Name

Es opcional.

Nombre del campo en el que se almacena el nombre del entorno.

Si falta el campo environment, el conector usa el valor predeterminado.

El valor predeterminado es "".
Environment Regex Pattern

Es opcional.

Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Environment Field Name. Este parámetro te permite manipular el campo del entorno con la lógica de expresiones regulares.

Usa el valor predeterminado .* para recuperar el valor Environment Field Name sin procesar requerido.

Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado.
Script Timeout (Seconds)

Obligatorio.

Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual.

El valor predeterminado es 180.
API Root

Obligatorio.

Es la raíz de la API para la instancia de integración.

En este caso de ejemplo, se usa el servicio [VAT Comply](https://www.vatcomply.com/) para realizar la integración con la raíz de la API `api.vatcomply.com`.

El valor predeterminado es http://api.vatcomply.com.
Password Field

Es opcional.

Un ejemplo de campo de contraseña de la API.

Este parámetro se incluye solo con fines de demostración y la API no lo requiere para la autenticación.

El valor predeterminado es Google SecOps.
Currencies To Fetch

Es opcional.

Son los tipos de cambio de moneda que se recuperarán.

El valor predeterminado es USD, EUR.
Create Alert Per Exchange Rate

Es opcional.

Si está habilitado, el conector crea una alerta independiente para cada tipo de cambio.
Alert Severity

Es opcional.

Es el nivel de gravedad de la alerta.

Los siguientes son los valores posibles:

  • Critical
  • High
  • Medium
  • Low
  • Informational

El valor predeterminado es Informational.
Add Attachment

Es opcional.

Si está habilitado, el conector agrega un objeto JSON a la alerta.

El valor predeterminado es True.
Max Days Backwards

Obligatorio.

Cantidad de días anteriores desde los que se recuperarán las alertas.

El valor máximo es 30.

El valor predeterminado es 1.
Max Alerts To Fetch

Obligatorio.

Es la cantidad de alertas que se procesarán en cada iteración del conector.

El valor predeterminado es 3.
Use dynamic list as a blocklist

Obligatorio.

Si se selecciona esta opción, el conector usa la lista dinámica como una lista de bloqueo.

No está seleccionado de forma predeterminada.
Disable Overflow

Es opcional.

Si se selecciona, el conector ignora el mecanismo de desbordamiento de SecOps de Google.

Esta opción se selecciona de forma predeterminada.
Verify SSL

Obligatorio.

Si se selecciona, la acción valida el certificado SSL del servidor de la API.

Esta opción se selecciona de forma predeterminada.
Proxy Server Address

Es opcional.

Es la dirección del servidor proxy que se usará.
Proxy Username

Es opcional.

Nombre de usuario del proxy con el que se realizará la autenticación.
Proxy Password

Es opcional.

Es la contraseña del proxy con la que se realizará la autenticación.

Trabajos

La integración de muestra permite usar el siguiente trabajo:

Ejemplo de trabajo simple

Usa el trabajo Simple Job Example para administrar casos de forma automática.

Este trabajo tiene dos funciones principales:

  • Cierra un caso si tiene una etiqueta Closed.

  • Agrega un comentario a un caso si tiene una etiqueta Currency.

Entradas de trabajo

Para configurar este trabajo, usa los siguientes parámetros:

Parámetros
API Root

Obligatorio.

Es la raíz de la API para la instancia de integración.

En este caso de ejemplo, se usa el servicio [VAT Comply](https://www.vatcomply.com/) para realizar la integración con la raíz de la API `api.vatcomply.com`.

El valor predeterminado es http://api.vatcomply.com.
Password Field

Es opcional.

Un ejemplo de campo de contraseña de la API.

Este parámetro se incluye solo con fines de demostración y la API no lo requiere para la autenticación.

El valor predeterminado es Google SecOps.
Verify SSL

Obligatorio.

Si se selecciona, la acción valida el certificado SSL del servidor de la API.

Esta opción se selecciona de forma predeterminada.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.