Integra un'integrazione di esempio con Google SecOps

Questo documento è una guida completa a un'integrazione di esempio che illustra pattern di progettazione comuni per la creazione di azioni, connettori e job per Google Security Operations (Google SecOps).

Versione integrazione: 1.0

Parametri di integrazione

L'integrazione di esempio richiede i seguenti parametri:

Parametro Descrizione
API Root

Obbligatorio.

La radice dell'API per l'istanza di integrazione.

In questo esempio, il servizio VAT Comply viene utilizzato per l'integrazione con la radice dell'API api.vatcomply.com.

Il valore predefinito è http://api.vatcomply.com.
Password Field

Facoltativo.

Un esempio di campo della password API.

Questo parametro è incluso solo a scopo dimostrativo e non è richiesto dall'API per l'autenticazione.

Il valore predefinito è Google SecOps.
Verify SSL

Obbligatorio.

Se selezionata, l'azione convalida il certificato SSL del server API.

Questa opzione è selezionata per impostazione predefinita.

Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supporto di più istanze.

Azioni

Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.

Dindin

Utilizza l'azione Ping per testare la connettività all'integrazione.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

Nessuno.

Output dell'azione

L'azione Ping fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca casi Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Non disponibile
Messaggi di output Disponibile
Risultato dello script. Disponibile
Messaggi di output

L'azione Ping può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully connected to the API Service server with the provided connection parameters!

 L'azione è riuscita.
Failed to connect to the API Service server! Error is ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:

Nome del risultato dello script Valore
is_success True o False

Esempio di azione semplice

Questo è un esempio di azione di base in Google SecOps.

Questa azione recupera i dati dal servizio api.vatcomply.com in base ai parametri forniti.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

Parametro Descrizione
Currencies String

Questo è un esempio di parametro che accetta un elenco di valori separati da virgole.

Facoltativo.

Un elenco separato da virgole di valute da elaborare.

Il valore predefinito è USD, EUR.
Currencies DDL

Questo è un esempio di parametro che accetta un elenco a discesa di valori.

Facoltativo.

Un elenco a discesa di valute da elaborare.

Il valore predefinito è Select One.

I valori possibili sono:

  • Select One
  • USD
  • EUR
  • CAD
Time Frame

Facoltativo.

Il periodo di tempo per i risultati.

Il valore predefinito è Today.

I valori possibili sono:

  • Today
  • Last 7 Days
  • Custom

Se selezioni Custom, devi anche fornire un valore per il parametro Start Time.
Start Time

Facoltativo.

L'ora di inizio dei risultati nel formato ISO 8601.

Questo parametro è obbligatorio se selezioni Custom per il parametro Time Frame.

L'intervallo di tempo tra Start Time e End Time non può superare i sette giorni.

L'azione utilizza solo la parte della data del timestamp.
End Time

Facoltativo.

L'ora di fine dei risultati in formato ISO 8601.

Se selezioni Custom per Time Frame e non fornisci un valore, l'azione utilizza l'ora corrente.

L'intervallo di tempo tra Start Time e End Time non può superare i sette giorni.

L'azione utilizza solo la parte della data del timestamp.
Return JSON Result

Questo è un esempio di input booleano.

Facoltativo.

Se abilitata, l'azione restituisce un risultato JSON.

Questa opzione è selezionata per impostazione predefinita.

Output dell'azione

L'azione Cerca grafici fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Disponibile
Link alla bacheca casi Disponibile
Tabella della bacheca casi Disponibile
Tabella di arricchimento Non disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile

L'azione restituisce il seguente link:

  • Valuta: https://www.vatcomply.com/currencies/BASE_CURRENCY/date/DATE
Tabella della bacheca casi

L'azione fornisce la seguente tabella per ogni risposta API:

Nome tabella: Valuta: {base} - {date}

Colonne della tabella:

  • Valuta (rate.keyname)
  • Valore (rate.keyname.value)
Risultato JSON

L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione:

[
   {
       "date": "2000-03-03",
       "exchange_rates": [
           {
               "base": "USD",
               "rates": {
                   "EUR": 1.035303861683404,
                   "USD": 1.0,
                   "JPY": 107.8476032715602,
                   "CYP": 0.5955481933947614,
                   "CZK": 36.87752355316285,
                   "DKK": 7.711357283362667,
                   "EEK": 16.19898540221555,
                   "GBP": 0.6332953721917383,
                   "HUF": 265.60720571487735,
                   "LTL": 4.001035303861683,
                   "LVL": 0.5954032508541256,
                   "MTL": 0.4235428098146806,
                   "PLN": 4.125168236877524,
                   "ROL": 18961.590226731547,
                   "SEK": 8.769023708458434,
                   "SIT": 209.5625841184388,
                   "SKK": 43.26845429133451,
                   "CHF": 1.6630085930220522,
                   "ISK": 73.39269075473652,
                   "NOK": 8.369396417848638,
                   "TRL": 574745.8329019567,
                   "AUD": 1.647479035096801,
                   "CAD": 1.454705456051351,
                   "HKD": 7.782379128274149,
                   "KRW": 1119.9503054146392,
                   "NZD": 2.0485557511129517,
                   "SGD": 1.7232632777720263,
                   "ZAR": 6.4730303344031475
               }
           },
           {
               "base": "EUR",
               "rates": {
                   "EUR": 1.0,
                   "USD": 0.9659,
                   "JPY": 104.17,
                   "CYP": 0.57524,
                   "CZK": 35.62,
                   "DKK": 7.4484,
                   "EEK": 15.6466,
                   "GBP": 0.6117,
                   "HUF": 256.55,
                   "LTL": 3.8646,
                   "LVL": 0.5751,
                   "MTL": 0.4091,
                   "PLN": 3.9845,
                   "ROL": 18315.0,
                   "SEK": 8.47,
                   "SIT": 202.4165,
                   "SKK": 41.793,
                   "CHF": 1.6063,
                   "ISK": 70.89,
                   "NOK": 8.084,
                   "TRL": 555147.0,
                   "AUD": 1.5913,
                   "CAD": 1.4051,
                   "HKD": 7.517,
                   "KRW": 1081.76,
                   "NZD": 1.9787,
                   "SGD": 1.6645,
                   "ZAR": 6.2523
               }
           }
       ]
   }
]
Messaggi di output

L'azione può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully returned information about the following currencies from START_TIME to END_TIME: "CURRENCIES"

 L'azione è riuscita.
Error executing action "ACTION_NAME". Reason: ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione:

Nome del risultato dello script Valore
is_success True o False

Esempio di azione di arricchimento dell'entità

Questo è un esempio di azione che funziona con le entità e le arricchisce in Google SecOps.

Questa azione viene eseguita su tutte le entità Google SecOps fornite nel parametro Entity Type.

Input azione

L'azione Arricchisci entità richiede i seguenti parametri:

Parametro Descrizione
Entity Type

Obbligatorio.

Le entità dell'ambito dell'avviso da elaborare.

Il valore predefinito è All Entities.

I valori possibili sono:

  • IP
  • Hash
  • User

Output dell'azione

L'azione Arricchisci entità fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca casi Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento delle entità Disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Tabella di arricchimento delle entità

L'azione Arricchisci entità supporta il seguente arricchimento per le entità:

Campo di arricchimento Origine (chiave JSON) Applicabilità
SampleIntegration_enriched true Quando disponibile nel risultato JSON.
SampleIntegration_timestamp timestamp Quando disponibile nel risultato JSON.
Risultato JSON

L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci entità:

{
   "Entity": "Entity",
   "EntityResult": [
       {
           "enriched": "true",
           "timestamp": "12123213123"
       }
   ]
}
Messaggi di output

L'azione Arricchisci entità può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

Successfully enriched the following entities: ENTITIES

 L'azione è riuscita.
No eligible entities were found in the scope of the alert.

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La seguente tabella elenca il valore per l'output del risultato dello script quando utilizzi l'azione Arricchisci entità:

Nome del risultato dello script Valore
is_success True o False

Esempio di azione asincrona

Questo è un esempio di azione asincrona in Google SecOps.

L'esecuzione dell'azione non terminerà finché non viene raggiunto il timeout o i casi non hanno un tag specificato nel parametro Case Tag To Wait For.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Async richiede i seguenti parametri:

Parametro Descrizione
Case IDs

Facoltativo.

Un elenco separato da virgole di casi da gestire.

Se non viene fornito nulla, l'azione utilizza l'case ID da cui è stata eseguita.
Case Tag To Wait For

Obbligatorio.

L'azione attende che i casi vengano taggati con questo valore prima di terminare l'esecuzione.

Output dell'azione

L'azione Async fornisce i seguenti output:

Tipo di output dell'azione Disponibilità
Allegato della bacheca casi Non disponibile
Link alla bacheca casi Non disponibile
Tabella della bacheca casi Non disponibile
Tabella di arricchimento delle entità Non disponibile
Risultato JSON Disponibile
Messaggi di output Disponibile
Risultato dello script Disponibile
Risultato JSON

L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Async:

[{
   "case_id": "123",
   "tags": ["Async"]
}, {
   "case_id": "123",
   "tags": ["Async"]
},]
Messaggi di output

L'azione Async può restituire i seguenti messaggi di output:

Messaggio di output Descrizione del messaggio

The following cases have tag TAG: CASE_ID

 L'azione è riuscita.
Error executing action "Async Action Example". Reason: ERROR_REASON

L'azione non è riuscita.

Controlla la connessione al server, i parametri di input o le credenziali.
Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Async:

Nome del risultato dello script Valore
is_success True o False

Connettori

Per scoprire di più sulla configurazione dei connettori in Google SecOps, consulta Importare i dati (connettori).

Integrazione di esempio - Esempio di connettore semplice

Utilizza l'integrazione di esempio - Esempio di connettore semplice per recuperare i tassi di cambio e altri dati dal servizio api.vatcomply.com.

Per lavorare con un elenco dinamico, utilizza il parametro alert_type.

Ingressi del connettore

Il connettore Google Threat Intelligence - DTM Alerts richiede i seguenti parametri:

Parametro Descrizione
Product Field Name

Obbligatorio.

Il nome del campo in cui è memorizzato il nome del prodotto.

Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare la procedura di mappatura per il connettore, il valore predefinito viene risolto in un valore di riserva a cui viene fatto riferimento dal codice. Per impostazione predefinita, qualsiasi input non valido per questo parametro viene risolto in un valore di riserva.

Il valore predefinito è Product Name.
Event Field Name

Obbligatorio.

Il nome del campo che determina il nome (sottotipo) dell'evento.

Il valore predefinito è event_type.
Environment Field Name

Facoltativo.

Il nome del campo in cui è memorizzato il nome dell'ambiente.

Se il campo ambiente non è presente, il connettore utilizza il valore predefinito.

Il valore predefinito è "".
Environment Regex Pattern

Facoltativo.

Un pattern di espressione regolare da eseguire sul valore trovato nel campo Environment Field Name. Questo parametro consente di manipolare il campo dell'ambiente utilizzando la logica delle espressioni regolari.

Utilizza il valore predefinito .* per recuperare il valore Environment Field Name grezzo richiesto.

Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, il risultato finale dell'ambiente è l'ambiente predefinito.
Script Timeout (Seconds)

Obbligatorio.

Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente.

Il valore predefinito è 180.
API Root

Obbligatorio.

La radice dell'API per l'istanza di integrazione.

In questo caso di esempio, il servizio [VAT Comply](https://www.vatcomply.com/) viene utilizzato per l'integrazione con la radice dell'API `api.vatcomply.com`.

Il valore predefinito è http://api.vatcomply.com.
Password Field

Facoltativo.

Un esempio di campo della password API.

Questo parametro è incluso solo a scopo dimostrativo e non è richiesto dall'API per l'autenticazione.

Il valore predefinito è Google SecOps.
Currencies To Fetch

Facoltativo.

I tassi di cambio da recuperare.

Il valore predefinito è USD, EUR.
Create Alert Per Exchange Rate

Facoltativo.

Se abilitato, il connettore crea un avviso separato per ogni tasso di cambio.
Alert Severity

Facoltativo.

Il livello di gravità dell'avviso.

I valori possibili sono:

  • Critical
  • High
  • Medium
  • Low
  • Informational

Il valore predefinito è Informational.
Add Attachment

Facoltativo.

Se attivato, il connettore aggiunge un oggetto JSON all'avviso.

Il valore predefinito è True.
Max Days Backwards

Obbligatorio.

Il numero di giorni precedenti a partire dai quali recuperare gli avvisi.

Il valore massimo è 30.

Il valore predefinito è 1.
Max Alerts To Fetch

Obbligatorio.

Il numero di avvisi da elaborare in ogni iterazione del connettore.

Il valore predefinito è 3.
Use dynamic list as a blocklist

Obbligatorio.

Se selezionato, il connettore utilizza l'elenco dinamico come blocklist.

Non selezionato per impostazione predefinita.
Disable Overflow

Facoltativo.

Se selezionato, il connettore ignora il meccanismo di overflow di Google SecOps.

Questa opzione è selezionata per impostazione predefinita.
Verify SSL

Obbligatorio.

Se selezionata, l'azione convalida il certificato SSL del server API.

Questa opzione è selezionata per impostazione predefinita.
Proxy Server Address

Facoltativo.

L'indirizzo del server proxy da utilizzare.
Proxy Username

Facoltativo.

Il nome utente del proxy per l'autenticazione.
Proxy Password

Facoltativo.

La password del proxy per l'autenticazione.

Job

L'integrazione di esempio consente l'utilizzo del seguente job:

Esempio di job semplice

Utilizza il job Esempio di job semplice per gestire automaticamente i casi.

Questo lavoro ha due funzioni principali:

  • Chiudi una richiesta se ha il tag Closed.

  • Aggiungi un commento a una richiesta se ha un tag Currency.

Input del job

Per configurare questo job, utilizza i seguenti parametri:

Parametri
API Root

Obbligatorio.

La radice dell'API per l'istanza di integrazione.

In questo caso di esempio, il servizio [VAT Comply](https://www.vatcomply.com/) viene utilizzato per l'integrazione con la radice dell'API `api.vatcomply.com`.

Il valore predefinito è http://api.vatcomply.com.
Password Field

Facoltativo.

Un esempio di campo della password API.

Questo parametro è incluso solo a scopo dimostrativo e non è richiesto dall'API per l'autenticazione.

Il valore predefinito è Google SecOps.
Verify SSL

Obbligatorio.

Se selezionata, l'azione convalida il certificato SSL del server API.

Questa opzione è selezionata per impostazione predefinita.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.