Mengintegrasikan integrasi sampel dengan Google SecOps

Dokumen ini adalah panduan komprehensif untuk integrasi contoh yang menunjukkan pola desain umum untuk membangun tindakan, konektor, dan tugas untuk Google Security Operations (Google SecOps).

Parameter integrasi

Integrasi Contoh memerlukan parameter berikut:

Parameter Deskripsi
API Root

Wajib.

Root API untuk instance integrasi.

Dalam contoh kasus ini, layanan VAT Comply digunakan untuk berintegrasi, dengan root API api.vatcomply.com.

Nilai defaultnya adalah http://api.vatcomply.com.
Password Field

Opsional.

Contoh kolom sandi API.

Parameter ini disertakan hanya untuk tujuan demonstrasi dan tidak diperlukan oleh API untuk autentikasi.

Nilai defaultnya adalah Google SecOps.
Verify SSL

Wajib.

Jika dipilih, tindakan ini akan memvalidasi sertifikat SSL server API.

Dipilih secara default.

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Anda dapat melakukan perubahan di tahap selanjutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Tindakan

Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.

Ping

Gunakan tindakan Ping untuk menguji konektivitas ke integrasi.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Ping memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tidak tersedia
Pesan output Tersedia
Hasil skrip. Tersedia
Pesan output

Tindakan Ping dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully connected to the API Service server with the provided connection parameters!

 Tindakan berhasil.
Failed to connect to the API Service server! Error is ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:

Nama hasil skrip Nilai
is_success True atau False

Contoh tindakan sederhana

Berikut adalah contoh tindakan dasar di Google SecOps.

Tindakan ini mengambil data dari layanan api.vatcomply.com berdasarkan parameter yang diberikan.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Parameter Deskripsi
Currencies String

Berikut contoh parameter yang menerima daftar nilai yang dipisahkan koma.

Opsional.

Daftar mata uang yang dipisahkan koma untuk diproses.

Nilai defaultnya adalah USD, EUR.
Currencies DDL

Berikut adalah contoh parameter yang menerima daftar drop-down nilai.

Opsional.

Daftar drop-down mata uang yang akan diproses.

Nilai defaultnya adalah Select One.

Kemungkinan nilainya adalah:

  • Select One
  • USD
  • EUR
  • CAD
Time Frame

Opsional.

Jangka waktu untuk hasil.

Nilai defaultnya adalah Today.

Kemungkinan nilainya adalah:

  • Today
  • Last 7 Days
  • Custom

Jika memilih Custom, Anda juga harus memberikan nilai untuk parameter Start Time.
Start Time

Opsional.

Waktu mulai untuk hasil dalam format ISO 8601.

Parameter ini wajib diisi jika Anda memilih Custom untuk parameter Time Frame.

Rentang waktu antara Start Time dan End Time tidak boleh lebih dari tujuh hari.

Tindakan ini hanya menggunakan bagian tanggal stempel waktu.
End Time

Opsional.

Waktu berakhir untuk hasil dalam format ISO 8601.

Jika Anda memilih Custom untuk Time Frame dan tidak memberikan nilai, tindakan akan menggunakan waktu saat ini.

Rentang waktu antara Start Time dan End Time tidak boleh lebih dari tujuh hari.

Tindakan ini hanya menggunakan bagian tanggal stempel waktu.
Return JSON Result

Ini adalah contoh input boolean.

Opsional.

Jika diaktifkan, tindakan akan menampilkan hasil JSON.

Dipilih secara default.

Output tindakan

Tindakan Search Graphs memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tersedia
Link repositori kasus Tersedia
Tabel repositori kasus Tersedia
Tabel pengayaan Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia

Tindakan ini akan menampilkan link berikut:

  • Mata Uang: https://www.vatcomply.com/currencies/BASE_CURRENCY/date/DATE
Tabel repositori kasus

Tindakan ini menyediakan tabel berikut untuk setiap respons API:

Nama tabel: Mata Uang: {base} - {date}

Kolom tabel:

  • Mata uang (rate.keyname)
  • Nilai (rate.keyname.value)
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan:

[
   {
       "date": "2000-03-03",
       "exchange_rates": [
           {
               "base": "USD",
               "rates": {
                   "EUR": 1.035303861683404,
                   "USD": 1.0,
                   "JPY": 107.8476032715602,
                   "CYP": 0.5955481933947614,
                   "CZK": 36.87752355316285,
                   "DKK": 7.711357283362667,
                   "EEK": 16.19898540221555,
                   "GBP": 0.6332953721917383,
                   "HUF": 265.60720571487735,
                   "LTL": 4.001035303861683,
                   "LVL": 0.5954032508541256,
                   "MTL": 0.4235428098146806,
                   "PLN": 4.125168236877524,
                   "ROL": 18961.590226731547,
                   "SEK": 8.769023708458434,
                   "SIT": 209.5625841184388,
                   "SKK": 43.26845429133451,
                   "CHF": 1.6630085930220522,
                   "ISK": 73.39269075473652,
                   "NOK": 8.369396417848638,
                   "TRL": 574745.8329019567,
                   "AUD": 1.647479035096801,
                   "CAD": 1.454705456051351,
                   "HKD": 7.782379128274149,
                   "KRW": 1119.9503054146392,
                   "NZD": 2.0485557511129517,
                   "SGD": 1.7232632777720263,
                   "ZAR": 6.4730303344031475
               }
           },
           {
               "base": "EUR",
               "rates": {
                   "EUR": 1.0,
                   "USD": 0.9659,
                   "JPY": 104.17,
                   "CYP": 0.57524,
                   "CZK": 35.62,
                   "DKK": 7.4484,
                   "EEK": 15.6466,
                   "GBP": 0.6117,
                   "HUF": 256.55,
                   "LTL": 3.8646,
                   "LVL": 0.5751,
                   "MTL": 0.4091,
                   "PLN": 3.9845,
                   "ROL": 18315.0,
                   "SEK": 8.47,
                   "SIT": 202.4165,
                   "SKK": 41.793,
                   "CHF": 1.6063,
                   "ISK": 70.89,
                   "NOK": 8.084,
                   "TRL": 555147.0,
                   "AUD": 1.5913,
                   "CAD": 1.4051,
                   "HKD": 7.517,
                   "KRW": 1081.76,
                   "NZD": 1.9787,
                   "SGD": 1.6645,
                   "ZAR": 6.2523
               }
           }
       ]
   }
]
Pesan output

Tindakan ini dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully returned information about the following currencies from START_TIME to END_TIME: "CURRENCIES"

 Tindakan berhasil.
Error executing action "ACTION_NAME". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan:

Nama hasil skrip Nilai
is_success True atau False

Contoh tindakan Memperkaya Entity

Berikut adalah contoh tindakan yang berfungsi dengan dan memperkaya entitas di Google SecOps.

Tindakan ini berjalan di semua entity Google SecOps yang disediakan dalam parameter Entity Type.

Input tindakan

Tindakan Enrich Entity memerlukan parameter berikut:

Parameter Deskripsi
Entity Type

Wajib.

Entitas dari cakupan pemberitahuan yang akan diproses.

Nilai defaultnya adalah All Entities.

Kemungkinan nilainya adalah:

  • IP
  • Hash
  • User

Output tindakan

Tindakan Enrich Entity memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan entitas Tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Tabel pengayaan entitas

Tindakan Perkaya Entitas mendukung pengayaan berikut untuk entitas:

Kolom pengayaan Sumber (kunci JSON) Penerapan
SampleIntegration_enriched true Jika tersedia di hasil JSON.
SampleIntegration_timestamp timestamp Jika tersedia di hasil JSON.
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Enrich Entity:

{
   "Entity": "Entity",
   "EntityResult": [
       {
           "enriched": "true",
           "timestamp": "12123213123"
       }
   ]
}
Pesan output

Tindakan Enrich Entity dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Successfully enriched the following entities: ENTITIES

 Tindakan berhasil.
No eligible entities were found in the scope of the alert.

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perkaya Entitas:

Nama hasil skrip Nilai
is_success True atau False

Contoh tindakan asinkron

Berikut adalah contoh tindakan asinkron di Google SecOps.

Tindakan tidak akan selesai dieksekusi hingga waktu tunggu tercapai atau kasus memiliki tag yang ditentukan dalam parameter Case Tag To Wait For.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Async memerlukan parameter berikut:

Parameter Deskripsi
Case IDs

Opsional.

Daftar kasus yang dipisahkan koma untuk ditangani.

Jika tidak ada yang diberikan, tindakan akan menggunakan ID kasus tempat tindakan dieksekusi.
Case Tag To Wait For

Wajib.

Tindakan menunggu hingga kasus diberi tag dengan nilai ini sebelum eksekusi selesai.

Output tindakan

Tindakan Async memberikan output berikut:

Jenis output tindakan Ketersediaan
Lampiran repositori kasus Tidak tersedia
Link repositori kasus Tidak tersedia
Tabel repositori kasus Tidak tersedia
Tabel pengayaan entitas Tidak tersedia
Hasil JSON Tersedia
Pesan output Tersedia
Hasil skrip Tersedia
Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Async:

[{
   "case_id": "123",
   "tags": ["Async"]
}, {
   "case_id": "123",
   "tags": ["Async"]
},]
Pesan output

Tindakan Async dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

The following cases have tag TAG: CASE_ID

 Tindakan berhasil.
Error executing action "Async Action Example". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.
Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Async:

Nama hasil skrip Nilai
is_success True atau False

Konektor

Untuk mempelajari lebih lanjut cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).

Contoh Integrasi - Contoh Konektor Sederhana

Gunakan Sample Integration - Simple Connector Example untuk mengambil nilai tukar mata uang dan data lainnya dari layanan api.vatcomply.com.

Untuk menggunakan daftar dinamis, gunakan parameter alert_type.

Input konektor

Konektor Pemberitahuan DTM - Google Threat Intelligence memerlukan parameter berikut:

Parameter Deskripsi
Product Field Name

Wajib.

Nama kolom tempat nama produk disimpan.

Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default.

Nilai defaultnya adalah Product Name.
Event Field Name

Wajib.

Nama kolom yang menentukan nama peristiwa (subjenis).

Nilai defaultnya adalah event_type.
Environment Field Name

Opsional.

Nama kolom tempat nama lingkungan disimpan.

Jika kolom environment tidak ada, konektor akan menggunakan nilai default.

Nilai defaultnya adalah "".
Environment Regex Pattern

Opsional.

Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom Environment Field Name. Dengan parameter ini, Anda dapat memanipulasi kolom lingkungan menggunakan logika ekspresi reguler.

Gunakan nilai default .* untuk mengambil nilai Environment Field Name mentah yang diperlukan.

Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
Script Timeout (Seconds)

Wajib.

Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini.

Nilai defaultnya adalah 180.
API Root

Wajib.

Root API untuk instance integrasi.

Dalam contoh kasus ini, layanan [VAT Comply](https://www.vatcomply.com/) digunakan untuk berintegrasi, dengan root API `api.vatcomply.com`.

Nilai defaultnya adalah http://api.vatcomply.com.
Password Field

Opsional.

Contoh kolom sandi API.

Parameter ini disertakan hanya untuk tujuan demonstrasi dan tidak diperlukan oleh API untuk autentikasi.

Nilai defaultnya adalah Google SecOps.
Currencies To Fetch

Opsional.

Nilai tukar mata uang yang akan diambil.

Nilai defaultnya adalah USD, EUR.
Create Alert Per Exchange Rate

Opsional.

Jika diaktifkan, konektor akan membuat pemberitahuan terpisah untuk setiap nilai tukar.
Alert Severity

Opsional.

Tingkat keparahan notifikasi.

Kemungkinan nilainya adalah:

  • Critical
  • High
  • Medium
  • Low
  • Informational

Nilai defaultnya adalah Informational.
Add Attachment

Opsional.

Jika diaktifkan, konektor akan menambahkan objek JSON ke notifikasi.

Nilai defaultnya adalah True.
Max Days Backwards

Wajib.

Jumlah hari sebelumnya untuk mengambil pemberitahuan.

Nilai maksimum adalah 30.

Nilai defaultnya adalah 1.
Max Alerts To Fetch

Wajib.

Jumlah pemberitahuan yang akan diproses dalam setiap iterasi konektor.

Nilai defaultnya adalah 3.
Use dynamic list as a blocklist

Wajib.

Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir.

Tidak dipilih secara default.
Disable Overflow

Opsional.

Jika dipilih, konektor akan mengabaikan mekanisme peluapan Google SecOps.

Dipilih secara default.
Verify SSL

Wajib.

Jika dipilih, tindakan ini akan memvalidasi sertifikat SSL server API.

Dipilih secara default.
Proxy Server Address

Opsional.

Alamat server proxy yang akan digunakan.
Proxy Username

Opsional.

Nama pengguna proxy untuk melakukan autentikasi.
Proxy Password

Opsional.

Sandi proxy untuk mengautentikasi.

Pekerjaan

Integrasi contoh memungkinkan penggunaan tugas berikut:

Contoh Tugas Sederhana

Gunakan tugas Simple Job Example untuk mengelola kasus secara otomatis.

Tugas ini memiliki dua fungsi utama:

  • Tutup kasus jika memiliki tag Closed.

  • Tambahkan komentar ke kasus jika memiliki tag Currency.

Input tugas

Untuk mengonfigurasi tugas ini, gunakan parameter berikut:

Parameter
API Root

Wajib.

Root API untuk instance integrasi.

Dalam contoh kasus ini, layanan [VAT Comply](https://www.vatcomply.com/) digunakan untuk berintegrasi, dengan root API `api.vatcomply.com`.

Nilai defaultnya adalah http://api.vatcomply.com.
Password Field

Opsional.

Contoh kolom sandi API.

Parameter ini disertakan hanya untuk tujuan demonstrasi dan tidak diperlukan oleh API untuk autentikasi.

Nilai defaultnya adalah Google SecOps.
Verify SSL

Wajib.

Jika dipilih, tindakan ini akan memvalidasi sertifikat SSL server API.

Dipilih secara default.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.