サンプル統合を Google SecOps と統合する
このドキュメントは、Google Security Operations(Google SecOps)のアクション、コネクタ、ジョブを構築するための一般的な設計パターンを示すサンプル統合の包括的なガイドです。
統合のパラメータ
サンプル統合には次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
API Root |
必須。 統合インスタンスの API ルート。 この例では、VAT Comply サービスが API ルート デフォルト値は |
Password Field |
省略可。 API パスワード フィールドの例。 このパラメータはデモのみを目的として含まれており、API での認証には必要ありません。 デフォルト値は |
Verify SSL |
必須。 選択すると、アクションは API サーバーの SSL 証明書を検証します。 デフォルトで選択されています。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの詳細については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
Ping
Ping アクションを使用して、インテグレーションへの接続をテストします。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
なし
アクションの出力
Ping アクションは次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果。 | 利用可能 |
出力メッセージ
Ping アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Failed to connect to the
API Service server!
Error is ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
簡単なアクションの例
これは、Google SecOps の基本的なアクションの例です。
このアクションは、指定されたパラメータに基づいて api.vatcomply.com サービスからデータを取得します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
| パラメータ | 説明 |
|---|---|
Currencies String |
これは、値のカンマ区切りのリストを受け入れるパラメータの例です。 省略可。 処理する通貨のカンマ区切りのリスト。 デフォルト値は |
Currencies DDL |
これは、値のプルダウン リストを受け入れるパラメータの例です。 省略可。 処理する通貨のプルダウン リスト。 デフォルト値は 使用できる値は次のとおりです。 |
Time Frame |
省略可。 結果の時間枠。 デフォルト値は 使用できる値は次のとおりです。
|
Start Time |
省略可。 結果の開始時間(ISO 8601 形式)。
このアクションでは、タイムスタンプの日付部分のみが使用されます。 |
End Time |
省略可。 結果の終了時刻(ISO 8601 形式)。
このアクションでは、タイムスタンプの日付部分のみが使用されます。 |
Return JSON Result |
これはブール値入力の例です。 省略可。 有効にすると、アクションは JSON 形式の結果を返します。 デフォルトで選択されています。 |
アクションの出力
[グラフを検索] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用可能 |
| ケースウォールのリンク | 利用可能 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォールのリンク
このアクションは次のリンクを返します。
- 通貨:
https://www.vatcomply.com/currencies/BASE_CURRENCY/date/DATE
ケースウォール テーブル
このアクションは、すべての API レスポンスに対して次の表を提供します。
テーブル名: 通貨: {base} - {date}
テーブルの列:
- 通貨(rate.keyname)
- 値(rate.keyname.value)
JSON の結果
次の例は、アクションの使用時に受信した JSON 結果の出力を示しています。
[
{
"date": "2000-03-03",
"exchange_rates": [
{
"base": "USD",
"rates": {
"EUR": 1.035303861683404,
"USD": 1.0,
"JPY": 107.8476032715602,
"CYP": 0.5955481933947614,
"CZK": 36.87752355316285,
"DKK": 7.711357283362667,
"EEK": 16.19898540221555,
"GBP": 0.6332953721917383,
"HUF": 265.60720571487735,
"LTL": 4.001035303861683,
"LVL": 0.5954032508541256,
"MTL": 0.4235428098146806,
"PLN": 4.125168236877524,
"ROL": 18961.590226731547,
"SEK": 8.769023708458434,
"SIT": 209.5625841184388,
"SKK": 43.26845429133451,
"CHF": 1.6630085930220522,
"ISK": 73.39269075473652,
"NOK": 8.369396417848638,
"TRL": 574745.8329019567,
"AUD": 1.647479035096801,
"CAD": 1.454705456051351,
"HKD": 7.782379128274149,
"KRW": 1119.9503054146392,
"NZD": 2.0485557511129517,
"SGD": 1.7232632777720263,
"ZAR": 6.4730303344031475
}
},
{
"base": "EUR",
"rates": {
"EUR": 1.0,
"USD": 0.9659,
"JPY": 104.17,
"CYP": 0.57524,
"CZK": 35.62,
"DKK": 7.4484,
"EEK": 15.6466,
"GBP": 0.6117,
"HUF": 256.55,
"LTL": 3.8646,
"LVL": 0.5751,
"MTL": 0.4091,
"PLN": 3.9845,
"ROL": 18315.0,
"SEK": 8.47,
"SIT": 202.4165,
"SKK": 41.793,
"CHF": 1.6063,
"ISK": 70.89,
"NOK": 8.084,
"TRL": 555147.0,
"AUD": 1.5913,
"CAD": 1.4051,
"HKD": 7.517,
"KRW": 1081.76,
"NZD": 1.9787,
"SGD": 1.6645,
"ZAR": 6.2523
}
}
]
}
]
出力メッセージ
このアクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action
"ACTION_NAME". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
エンティティの拡充アクションの例
これは、Google SecOps のエンティティを操作して拡充するアクションの例です。
このアクションは、パラメータ Entity Type で指定されたすべての Google SecOps エンティティに対して実行されます。
アクション入力
[エンティティを拡充] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Entity Type |
必須。 処理するアラートのスコープ内のエンティティ。 デフォルト値は 使用できる値は次のとおりです。 |
アクションの出力
[エンティティを拡充] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充テーブル | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
エンティティ拡充テーブル
エンティティの拡充アクションは、エンティティの次の拡充をサポートしています。
| 拡充フィールド | ソース(JSON キー) | 適用範囲 |
|---|---|---|
SampleIntegration_enriched |
true |
JSON の結果で利用可能な場合。 |
SampleIntegration_timestamp |
timestamp |
JSON の結果で利用可能な場合。 |
JSON の結果
次の例は、エンティティの拡充アクションを使用した場合に受信される JSON 結果の出力例を示しています。
{
"Entity": "Entity",
"EntityResult": [
{
"enriched": "true",
"timestamp": "12123213123"
}
]
}
出力メッセージ
エンティティを拡充アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
No eligible entities were found in the scope of the alert. |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、エンティティの拡充アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
非同期アクションの例
これは、Google SecOps の非同期アクションの例です。
タイムアウトに達するか、ケースに Case Tag To Wait For パラメータで指定されたタグが付けられるまで、アクションの実行は完了しません。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
Async アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Case IDs |
省略可。 処理するケースのカンマ区切りのリスト。 何も指定しないと、アクションが実行されたケースのケース ID がアクションで使用されます。 |
Case Tag To Wait For |
必須。 アクションは、ケースにこの値のタグが付けられるまで待ってから、実行を終了します。 |
アクションの出力
Async アクションは次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| エンティティ拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、Async アクションを使用した場合に受信する JSON 結果の出力です。
[{
"case_id": "123",
"tags": ["Async"]
}, {
"case_id": "123",
"tags": ["Async"]
},]
出力メッセージ
Async アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action
"Async Action Example". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Async アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
コネクタ
Google SecOps でコネクタを構成する方法については、データを取り込む(コネクタ)をご覧ください。
サンプル統合 - シンプルなコネクタの例
サンプル統合 - シンプルなコネクタの例を使用して、api.vatcomply.com サービスから通貨レートなどのデータを取得します。
動的リストを操作するには、alert_type パラメータを使用します。
コネクタの入力
Google Threat Intelligence - DTM Alerts Connector には、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Product Field Name |
必須。 商品名が保存されるフィールドの名前。 商品名は主にマッピングに影響します。コネクタのマッピング プロセスを合理化して改善するため、デフォルト値はコードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。 デフォルト値は |
Event Field Name |
必須。 イベント名(サブタイプ)を特定するフィールドの名前。 デフォルト値は |
Environment Field Name |
省略可。 環境名が保存されるフィールドの名前。 環境フィールドがない場合、コネクタはデフォルト値を使用します。 デフォルト値は |
Environment Regex Pattern |
省略可。
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
Script Timeout (Seconds) |
必須。 現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は |
API Root |
必須。 統合インスタンスの API ルート。 この例では、[VAT Comply](https://www.vatcomply.com/) サービスが API ルート `api.vatcomply.com` で統合されています。 デフォルト値は |
Password Field |
省略可。 API パスワード フィールドの例。 このパラメータはデモのみを目的として含まれており、API での認証には必要ありません。 デフォルト値は |
Currencies To Fetch |
省略可。 取得する為替レート。 デフォルト値は |
Create Alert Per Exchange Rate |
省略可。 有効にすると、コネクタは為替レートごとに個別のアラートを作成します。 |
Alert Severity |
省略可。 アラートの重大度。 使用できる値は次のとおりです。
デフォルト値は |
Add Attachment |
省略可。 有効にすると、コネクタはアラートに JSON オブジェクトを追加します。 デフォルト値は |
Max Days Backwards |
必須。 アラートを取得する時点からの日数。 最大値は デフォルト値は |
Max Alerts To Fetch |
必須。 コネクタの反復処理ごとに処理するアラートの数。 デフォルト値は |
Use dynamic list as a blocklist |
必須。 選択すると、コネクタは動的リストを拒否リストとして使用します。 デフォルトでは選択されていません。 |
Disable Overflow |
省略可。 選択すると、コネクタは Google SecOps のオーバーフロー メカニズムを無視します。 デフォルトで選択されています。 |
Verify SSL |
必須。 選択すると、アクションは API サーバーの SSL 証明書を検証します。 デフォルトで選択されています。 |
Proxy Server Address |
省略可。 使用するプロキシ サーバーのアドレス。 |
Proxy Username |
省略可。 認証に使用するプロキシのユーザー名。 |
Proxy Password |
省略可。 認証に使用するプロキシ パスワード。 |
ジョブ
このサンプル統合では、次のジョブを使用できます。
簡単なジョブの例
Simple Job Example ジョブを使用して、ケースを自動的に管理します。
このジョブには、次の 2 つの主な機能があります。
Closedタグが付いている場合は、ケースを閉じます。Currencyタグが付いているケースにコメントを追加します。
ジョブ入力
このジョブを構成するには、次のパラメータを使用します。
| パラメータ | |
|---|---|
API Root |
必須。 統合インスタンスの API ルート。 この例では、[VAT Comply](https://www.vatcomply.com/) サービスが API ルート `api.vatcomply.com` で統合されています。 デフォルト値は |
Password Field |
省略可。 API パスワード フィールドの例。 このパラメータはデモのみを目的として含まれており、API での認証には必要ありません。 デフォルト値は |
Verify SSL |
必須。 選択すると、アクションは API サーバーの SSL 証明書を検証します。 デフォルトで選択されています。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。