Intégrer un exemple d'intégration à Google SecOps

Ce document est un guide complet pour un exemple d'intégration qui illustre les modèles de conception courants pour la création d'actions, de connecteurs et de jobs pour Google Security Operations (Google SecOps).

Paramètres d'intégration

L'intégration d'exemple nécessite les paramètres suivants :

Paramètre Description
API Root

Obligatoire.

Racine de l'API pour l'instance d'intégration.

Dans cet exemple, le service VAT Comply est utilisé pour l'intégration avec la racine de l'API api.vatcomply.com.

La valeur par défaut est http://api.vatcomply.com.
Password Field

Facultatif.

Exemple de champ de mot de passe de l'API.

Ce paramètre est inclus à des fins de démonstration uniquement. Il n'est pas requis par l'API pour l'authentification.

La valeur par défaut est Google SecOps.
Verify SSL

Obligatoire.

Si cette option est sélectionnée, l'action valide le certificat SSL du serveur d'API.

Cette option est sélectionnée par défaut.

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Si nécessaire, vous pourrez apporter des modifications ultérieurement. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.

Actions

Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.

Ping

Utilisez l'action Ping pour tester la connectivité à l'intégration.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

Aucune.

Sorties d'action

L'action Ping fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Tableau du mur des cas Non disponible
Table d'enrichissement Non disponible
Résultat JSON Non disponible
Messages de sortie Disponible
Résultat du script. Disponible
Messages de sortie

L'action Ping peut renvoyer les messages de résultat suivants :

Message de sortie Description du message

Successfully connected to the API Service server with the provided connection parameters!

 L'action a réussi.
Failed to connect to the API Service server! Error is ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :

Nom du résultat du script Valeur
is_success True ou False

Exemple d'action simple

Voici un exemple d'action de base dans Google SecOps.

Cette action récupère les données du service api.vatcomply.com en fonction des paramètres fournis.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

Paramètre Description
Currencies String

Voici un exemple de paramètre qui accepte une liste de valeurs séparées par une virgule.

Facultatif.

Liste des devises à traiter, séparées par une virgule.

La valeur par défaut est USD, EUR.
Currencies DDL

Voici un exemple de paramètre qui accepte une liste déroulante de valeurs.

Facultatif.

Liste déroulante des devises à traiter.

La valeur par défaut est Select One.

Les valeurs possibles sont :

  • Select One
  • USD
  • EUR
  • CAD
Time Frame

Facultatif.

Période des résultats.

La valeur par défaut est Today.

Les valeurs possibles sont :

  • Today
  • Last 7 Days
  • Custom

Si vous sélectionnez Custom, vous devez également fournir une valeur pour le paramètre Start Time.
Start Time

Facultatif.

Heure de début des résultats au format ISO 8601.

Ce paramètre est obligatoire si vous sélectionnez Custom pour le paramètre Time Frame.

L'intervalle de temps entre Start Time et End Time ne peut pas dépasser sept jours.

L'action n'utilise que la partie date du code temporel.
End Time

Facultatif.

Heure de fin des résultats au format ISO 8601.

Si vous sélectionnez Custom pour Time Frame et que vous ne fournissez pas de valeur, l'action utilise l'heure actuelle.

L'intervalle de temps entre Start Time et End Time ne peut pas dépasser sept jours.

L'action n'utilise que la partie date du code temporel.
Return JSON Result

Voici un exemple d'entrée booléenne.

Facultatif.

Si cette option est activée, l'action renvoie un résultat JSON.

Cette option est sélectionnée par défaut.

Sorties d'action

L'action Search Graphs (Rechercher des graphiques) fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Disponible
Lien vers le mur des cas Disponible
Tableau du mur des cas Disponible
Table d'enrichissement Non disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible

L'action renvoie le lien suivant :

  • Devise : https://www.vatcomply.com/currencies/BASE_CURRENCY/date/DATE
Tableau du mur des cas

L'action fournit le tableau suivant pour chaque réponse d'API :

Nom de la table : Devise : {base} - {date}

Colonnes du tableau :

  • Devise (rate.keyname)
  • Valeur (rate.keyname.value)
Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action :

[
   {
       "date": "2000-03-03",
       "exchange_rates": [
           {
               "base": "USD",
               "rates": {
                   "EUR": 1.035303861683404,
                   "USD": 1.0,
                   "JPY": 107.8476032715602,
                   "CYP": 0.5955481933947614,
                   "CZK": 36.87752355316285,
                   "DKK": 7.711357283362667,
                   "EEK": 16.19898540221555,
                   "GBP": 0.6332953721917383,
                   "HUF": 265.60720571487735,
                   "LTL": 4.001035303861683,
                   "LVL": 0.5954032508541256,
                   "MTL": 0.4235428098146806,
                   "PLN": 4.125168236877524,
                   "ROL": 18961.590226731547,
                   "SEK": 8.769023708458434,
                   "SIT": 209.5625841184388,
                   "SKK": 43.26845429133451,
                   "CHF": 1.6630085930220522,
                   "ISK": 73.39269075473652,
                   "NOK": 8.369396417848638,
                   "TRL": 574745.8329019567,
                   "AUD": 1.647479035096801,
                   "CAD": 1.454705456051351,
                   "HKD": 7.782379128274149,
                   "KRW": 1119.9503054146392,
                   "NZD": 2.0485557511129517,
                   "SGD": 1.7232632777720263,
                   "ZAR": 6.4730303344031475
               }
           },
           {
               "base": "EUR",
               "rates": {
                   "EUR": 1.0,
                   "USD": 0.9659,
                   "JPY": 104.17,
                   "CYP": 0.57524,
                   "CZK": 35.62,
                   "DKK": 7.4484,
                   "EEK": 15.6466,
                   "GBP": 0.6117,
                   "HUF": 256.55,
                   "LTL": 3.8646,
                   "LVL": 0.5751,
                   "MTL": 0.4091,
                   "PLN": 3.9845,
                   "ROL": 18315.0,
                   "SEK": 8.47,
                   "SIT": 202.4165,
                   "SKK": 41.793,
                   "CHF": 1.6063,
                   "ISK": 70.89,
                   "NOK": 8.084,
                   "TRL": 555147.0,
                   "AUD": 1.5913,
                   "CAD": 1.4051,
                   "HKD": 7.517,
                   "KRW": 1081.76,
                   "NZD": 1.9787,
                   "SGD": 1.6645,
                   "ZAR": 6.2523
               }
           }
       ]
   }
]
Messages de sortie

L'action peut renvoyer les messages de sortie suivants :

Message de sortie Description du message

Successfully returned information about the following currencies from START_TIME to END_TIME: "CURRENCIES"

 L'action a réussi.
Error executing action "ACTION_NAME". Reason: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action :

Nom du résultat du script Valeur
is_success True ou False

Exemple d'action "Enrichir l'entité"

Voici un exemple d'action qui fonctionne avec les entités et les enrichit dans Google SecOps.

Cette action s'exécute sur toutes les entités Google SecOps fournies dans le paramètre Entity Type.

Entrées d'action

L'action Enrichir l'entité nécessite les paramètres suivants :

Paramètre Description
Entity Type

Obligatoire.

Entités du champ d'application de l'alerte à traiter.

La valeur par défaut est All Entities.

Les valeurs possibles sont :

  • IP
  • Hash
  • User

Sorties d'action

L'action Enrichir l'entité fournit les résultats suivants :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Tableau du mur des cas Non disponible
Table d'enrichissement des entités Disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible
Table d'enrichissement des entités

L'action Enrichir l'entité accepte les enrichissements suivants pour les entités :

Champ d'enrichissement Source (clé JSON) Applicabilité
SampleIntegration_enriched true Lorsqu'il est disponible dans le résultat JSON.
SampleIntegration_timestamp timestamp Lorsqu'il est disponible dans le résultat JSON.
Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Enrichir l'entité :

{
   "Entity": "Entity",
   "EntityResult": [
       {
           "enriched": "true",
           "timestamp": "12123213123"
       }
   ]
}
Messages de sortie

L'action Enrichir l'entité peut renvoyer les messages de sortie suivants :

Message de sortie Description du message

Successfully enriched the following entities: ENTITIES

 L'action a réussi.
No eligible entities were found in the scope of the alert.

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enrichir l'entité :

Nom du résultat du script Valeur
is_success True ou False

Exemple d'action asynchrone

Voici un exemple d'action asynchrone dans Google SecOps.

L'action ne se termine pas tant que le délai avant expiration n'est pas atteint ou que les cas n'ont pas de tag spécifié dans le paramètre Case Tag To Wait For.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Async nécessite les paramètres suivants :

Paramètre Description
Case IDs

Facultatif.

Liste des cas à traiter, séparés par une virgule.

Si aucune valeur n'est fournie, l'action utilise le numéro de demande à partir duquel elle a été exécutée.
Case Tag To Wait For

Obligatoire.

L'action attend que les demandes soient taguées avec cette valeur avant de terminer l'exécution.

Sorties d'action

L'action Async fournit les sorties suivantes :

Type de sortie de l'action Disponibilité
Pièce jointe au mur des cas Non disponible
Lien vers le mur des cas Non disponible
Tableau du mur des cas Non disponible
Table d'enrichissement des entités Non disponible
Résultat JSON Disponible
Messages de sortie Disponible
Résultat du script Disponible
Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Async :

[{
   "case_id": "123",
   "tags": ["Async"]
}, {
   "case_id": "123",
   "tags": ["Async"]
},]
Messages de sortie

L'action Async peut renvoyer les messages de sortie suivants :

Message de sortie Description du message

The following cases have tag TAG: CASE_ID

 L'action a réussi.
Error executing action "Async Action Example". Reason: ERROR_REASON

Échec de l'action.

Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants.
Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Async :

Nom du résultat du script Valeur
is_success True ou False

Connecteurs

Pour en savoir plus sur la configuration des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).

Exemple d'intégration : exemple de connecteur simple

Utilisez l'exemple de connecteur simple pour l'intégration d'un échantillon afin de récupérer les taux de change et d'autres données du service api.vatcomply.com.

Pour utiliser une liste dynamique, utilisez le paramètre alert_type.

Entrées du connecteur

Le connecteur d'alertes DTM Google Threat Intelligence nécessite les paramètres suivants :

Paramètre Description
Product Field Name

Obligatoire.

Nom du champ dans lequel le nom du produit est stocké.

Le nom du produit a un impact majeur sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée dans le code. Toute entrée non valide pour ce paramètre est résolue par défaut sur une valeur de remplacement.

La valeur par défaut est Product Name.
Event Field Name

Obligatoire.

Nom du champ qui détermine le nom (sous-type) de l'événement.

La valeur par défaut est event_type.
Environment Field Name

Facultatif.

Nom du champ dans lequel le nom de l'environnement est stocké.

Si le champ "environment" est manquant, le connecteur utilise la valeur par défaut.

La valeur par défaut est "".
Environment Regex Pattern

Facultatif.

Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Environment Field Name. Ce paramètre vous permet de manipuler le champ "environment" à l'aide de la logique d'expression régulière.

Utilisez la valeur par défaut .* pour récupérer la valeur Environment Field Name brute requise.

Si le modèle d'expression régulière est nul ou vide, ou si la valeur de l'environnement est nulle, l'environnement par défaut est sélectionné comme résultat final.
Script Timeout (Seconds)

Obligatoire.

Délai avant expiration, en secondes, du processus Python qui exécute le script actuel.

La valeur par défaut est 180.
API Root

Obligatoire.

Racine de l'API pour l'instance d'intégration.

Dans cet exemple, le service [VAT Comply](https://www.vatcomply.com/) est utilisé pour l'intégration avec la racine de l'API `api.vatcomply.com`.

La valeur par défaut est http://api.vatcomply.com.
Password Field

Facultatif.

Exemple de champ de mot de passe de l'API.

Ce paramètre est inclus à des fins de démonstration uniquement. Il n'est pas requis par l'API pour l'authentification.

La valeur par défaut est Google SecOps.
Currencies To Fetch

Facultatif.

Taux de change à récupérer.

La valeur par défaut est USD, EUR.
Create Alert Per Exchange Rate

Facultatif.

Si cette option est activée, le connecteur crée une alerte distincte pour chaque taux de change.
Alert Severity

Facultatif.

Niveau de gravité de l'alerte.

Les valeurs possibles sont :

  • Critical
  • High
  • Medium
  • Low
  • Informational

La valeur par défaut est Informational.
Add Attachment

Facultatif.

Si cette option est activée, le connecteur ajoute un objet JSON à l'alerte.

La valeur par défaut est True.
Max Days Backwards

Obligatoire.

Nombre de jours en arrière à partir desquels récupérer les alertes.

La valeur maximale est de 30.

La valeur par défaut est 1.
Max Alerts To Fetch

Obligatoire.

Nombre d'alertes à traiter à chaque itération du connecteur.

La valeur par défaut est 3.
Use dynamic list as a blocklist

Obligatoire.

Si cette option est sélectionnée, le connecteur utilise la liste dynamique comme liste de blocage.

(non sélectionnée par défaut).
Disable Overflow

Facultatif.

Si cette option est sélectionnée, le connecteur ignore le mécanisme de dépassement de capacité Google SecOps.

Cette option est sélectionnée par défaut.
Verify SSL

Obligatoire.

Si cette option est sélectionnée, l'action valide le certificat SSL du serveur d'API.

Cette option est sélectionnée par défaut.
Proxy Server Address

Facultatif.

Adresse du serveur proxy à utiliser.
Proxy Username

Facultatif.

Nom d'utilisateur du proxy pour l'authentification.
Proxy Password

Facultatif.

Mot de passe du proxy pour l'authentification.

Jobs

L'intégration exemple permet d'utiliser le job suivant :

Exemple simple de job

Utilisez le job Simple Job Example pour gérer automatiquement les demandes.

Ce poste comporte deux fonctions principales :

  • Clôturez une demande si elle comporte le tag Closed.

  • Ajoutez un commentaire à une demande si elle comporte le tag Currency.

Entrées de tâches

Pour configurer ce job, utilisez les paramètres suivants :

Paramètres
API Root

Obligatoire.

Racine de l'API pour l'instance d'intégration.

Dans cet exemple, le service [VAT Comply](https://www.vatcomply.com/) est utilisé pour l'intégration avec la racine de l'API `api.vatcomply.com`.

La valeur par défaut est http://api.vatcomply.com.
Password Field

Facultatif.

Exemple de champ de mot de passe de l'API.

Ce paramètre est inclus à des fins de démonstration uniquement. Il n'est pas requis par l'API pour l'authentification.

La valeur par défaut est Google SecOps.
Verify SSL

Obligatoire.

Si cette option est sélectionnée, l'action valide le certificat SSL du serveur d'API.

Cette option est sélectionnée par défaut.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.