Google SecOps와 샘플 통합 통합

이 문서는 Google Security Operations (Google SecOps)용 작업, 커넥터, 작업을 빌드하기 위한 일반적인 설계 패턴을 보여주는 샘플 통합에 관한 포괄적인 가이드입니다.

통합 버전: 1.0

통합 매개변수

샘플 통합에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`API Root`	필수 항목입니다. 통합 인스턴스의 API 루트입니다. 이 예시에서는 VAT Comply 서비스가 API 루트 `api.vatcomply.com`와 통합하는 데 사용됩니다. 기본값은 `http://api.vatcomply.com`입니다.
`Password Field`	선택사항입니다. API 비밀번호 필드의 예 이 매개변수는 데모 목적으로만 포함되며 API에서 인증에 필요하지 않습니다. 기본값은 `Google SecOps`입니다.
`Verify SSL`	필수 항목입니다. 선택하면 작업에서 API 서버의 SSL 인증서를 검증합니다. 기본적으로 선택되어 있습니다.

API Root

필수 항목입니다.

통합 인스턴스의 API 루트입니다.

이 예시에서는 VAT Comply 서비스가 API 루트 api.vatcomply.com와 통합하는 데 사용됩니다.

기본값은 http://api.vatcomply.com입니다.

Password Field

선택사항입니다.

API 비밀번호 필드의 예

이 매개변수는 데모 목적으로만 포함되며 API에서 인증에 필요하지 않습니다.

기본값은 Google SecOps입니다.

Verify SSL

필수 항목입니다.

선택하면 작업에서 API 서버의 SSL 인증서를 검증합니다.

기본적으로 선택되어 있습니다.

Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.

필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.

작업

작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답하기 및 수동 작업 실행하기를 참고하세요.

핑

Ping 작업을 사용하여 통합 연결을 테스트합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

없음

작업 출력

Ping 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용 불가
케이스 월 링크	사용 불가
케이스 월 테이블	사용 불가
보강 테이블	사용 불가
JSON 결과	사용 불가
출력 메시지	사용 가능
스크립트 결과입니다.	사용 가능

출력 메시지

Ping 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`Successfully connected to the API Service server with the provided connection parameters!`	작업이 완료되었습니다.
`Failed to connect to the API Service server! Error is ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인하세요.

Successfully connected to the API Service server with the provided connection parameters!

작업이 완료되었습니다.

Failed to connect to the
      API Service server!
      Error is  ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인하세요.

스크립트 결과

다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`True` 또는 `False`

간단한 작업 예시

다음은 Google SecOps의 기본 작업의 예입니다.

이 작업은 제공된 매개변수를 기반으로 api.vatcomply.com 서비스에서 데이터를 가져옵니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

매개변수	설명
`Currencies String`	다음은 쉼표로 구분된 값 목록을 허용하는 매개변수의 예입니다. 선택사항입니다. 처리할 통화의 쉼표로 구분된 목록입니다. 기본값은 `USD, EUR`입니다.
`Currencies DDL`	다음은 값의 드롭다운 목록을 허용하는 매개변수의 예입니다. 선택사항입니다. 처리할 통화의 드롭다운 목록입니다. 기본값은 `Select One`입니다. 사용할 수 있는 값은 다음과 같습니다. `Select One USD EUR CAD`
`Time Frame`	선택사항입니다. 결과 기간입니다. 기본값은 `Today`입니다. 사용할 수 있는 값은 다음과 같습니다. `Today Last 7 Days Custom` `Custom`를 선택하는 경우 `Start Time` 매개변수의 값도 제공해야 합니다.
`Start Time`	선택사항입니다. 결과의 시작 시간입니다(ISO 8601 형식). `Time Frame` 매개변수에 `Custom`를 선택한 경우 이 매개변수는 필수입니다. `Start Time`와 `End Time` 사이의 기간은 7일을 초과할 수 없습니다. 이 작업에서는 타임스탬프의 날짜 부분만 사용합니다.
`End Time`	선택사항입니다. 결과의 종료 시간입니다(ISO 8601 형식). `Time Frame`에 `Custom`를 선택하고 값을 제공하지 않으면 작업에서 현재 시간을 사용합니다. `Start Time`와 `End Time` 사이의 기간은 7일을 초과할 수 없습니다. 이 작업에서는 타임스탬프의 날짜 부분만 사용합니다.
`Return JSON Result`	이는 불리언 입력의 예입니다. 선택사항입니다. 사용 설정하면 작업에서 JSON 결과를 반환합니다. 기본적으로 선택되어 있습니다.

작업 출력

그래프 검색 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용 가능
케이스 월 링크	사용 가능
케이스 월 테이블	사용 가능
보강 테이블	사용 불가
JSON 결과	사용 가능
출력 메시지	사용 가능
스크립트 결과	사용 가능

케이스 월 링크

이 작업은 다음 링크를 반환합니다.

통화: https://www.vatcomply.com/currencies/BASE_CURRENCY/date/DATE

케이스 월 테이블

이 작업은 모든 API 응답에 대해 다음 표를 제공합니다.

표 이름: 통화: {base} - {date}

표 열:

통화 (rate.keyname)
값 (rate.keyname.value)

JSON 결과

다음 예는 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

[
   {
       "date": "2000-03-03",
       "exchange_rates": [
           {
               "base": "USD",
               "rates": {
                   "EUR": 1.035303861683404,
                   "USD": 1.0,
                   "JPY": 107.8476032715602,
                   "CYP": 0.5955481933947614,
                   "CZK": 36.87752355316285,
                   "DKK": 7.711357283362667,
                   "EEK": 16.19898540221555,
                   "GBP": 0.6332953721917383,
                   "HUF": 265.60720571487735,
                   "LTL": 4.001035303861683,
                   "LVL": 0.5954032508541256,
                   "MTL": 0.4235428098146806,
                   "PLN": 4.125168236877524,
                   "ROL": 18961.590226731547,
                   "SEK": 8.769023708458434,
                   "SIT": 209.5625841184388,
                   "SKK": 43.26845429133451,
                   "CHF": 1.6630085930220522,
                   "ISK": 73.39269075473652,
                   "NOK": 8.369396417848638,
                   "TRL": 574745.8329019567,
                   "AUD": 1.647479035096801,
                   "CAD": 1.454705456051351,
                   "HKD": 7.782379128274149,
                   "KRW": 1119.9503054146392,
                   "NZD": 2.0485557511129517,
                   "SGD": 1.7232632777720263,
                   "ZAR": 6.4730303344031475
               }
           },
           {
               "base": "EUR",
               "rates": {
                   "EUR": 1.0,
                   "USD": 0.9659,
                   "JPY": 104.17,
                   "CYP": 0.57524,
                   "CZK": 35.62,
                   "DKK": 7.4484,
                   "EEK": 15.6466,
                   "GBP": 0.6117,
                   "HUF": 256.55,
                   "LTL": 3.8646,
                   "LVL": 0.5751,
                   "MTL": 0.4091,
                   "PLN": 3.9845,
                   "ROL": 18315.0,
                   "SEK": 8.47,
                   "SIT": 202.4165,
                   "SKK": 41.793,
                   "CHF": 1.6063,
                   "ISK": 70.89,
                   "NOK": 8.084,
                   "TRL": 555147.0,
                   "AUD": 1.5913,
                   "CAD": 1.4051,
                   "HKD": 7.517,
                   "KRW": 1081.76,
                   "NZD": 1.9787,
                   "SGD": 1.6645,
                   "ZAR": 6.2523
               }
           }
       ]
   }
]

출력 메시지

이 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`Successfully returned information about the following currencies from START_TIME to END_TIME: "CURRENCIES"`	작업이 완료되었습니다.
`Error executing action "ACTION_NAME". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인하세요.

Successfully returned information about the following currencies from START_TIME to END_TIME: "CURRENCIES"

작업이 완료되었습니다.

Error executing action
      "ACTION_NAME". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인하세요.

스크립트 결과

다음 표에는 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`True` 또는 `False`

항목 보강 작업 예

다음은 Google SecOps의 항목과 함께 작동하고 항목을 보강하는 작업의 예시입니다.

이 작업은 Entity Type 매개변수에 제공된 모든 Google SecOps 항목에서 실행됩니다.

작업 입력

Enrich Entity 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Entity Type`	필수 항목입니다. 처리할 알림 범위의 항목입니다. 기본값은 `All Entities`입니다. 사용할 수 있는 값은 다음과 같습니다. `IP Hash User`

Entity Type

필수 항목입니다.

처리할 알림 범위의 항목입니다.

기본값은 All Entities입니다.

사용할 수 있는 값은 다음과 같습니다.


      IP
      Hash
      User

작업 출력

Enrich Entity 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용 불가
케이스 월 링크	사용 불가
케이스 월 테이블	사용 불가
항목 보강 테이블	사용 가능
JSON 결과	사용 가능
출력 메시지	사용 가능
스크립트 결과	사용 가능

항목 보강 테이블

엔티티 보강 작업은 엔티티에 대해 다음 보강을 지원합니다.

보강 필드	소스 (JSON 키)	적용 범위
`SampleIntegration_enriched`	`true`	JSON 결과에서 사용할 수 있는 경우
`SampleIntegration_timestamp`	`timestamp`	JSON 결과에서 사용할 수 있는 경우

JSON 결과

다음 예는 Enrich Entity 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

{
   "Entity": "Entity",
   "EntityResult": [
       {
           "enriched": "true",
           "timestamp": "12123213123"
       }
   ]
}

출력 메시지

Enrich Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`Successfully enriched the following entities: ENTITIES`	작업이 완료되었습니다.
`No eligible entities were found in the scope of the alert.`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인하세요.

Successfully enriched the following entities: ENTITIES

작업이 완료되었습니다.

No eligible entities were found in the scope of the alert.

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인하세요.

스크립트 결과

다음 표에는 엔티티 보강 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`True` 또는 `False`

비동기 작업 예

다음은 Google SecOps의 비동기 작업의 예입니다.

제한 시간에 도달하거나 케이스에 Case Tag To Wait For 매개변수에 지정된 태그가 있을 때까지 작업이 실행을 완료하지 않습니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

Async 작업에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`Case IDs`	선택사항입니다. 처리할 케이스의 쉼표로 구분된 목록입니다. 아무것도 제공되지 않으면 작업이 실행된 케이스 ID가 사용됩니다.
`Case Tag To Wait For`	필수 항목입니다. 작업은 실행이 완료되기 전에 케이스가 이 값으로 태그될 때까지 기다립니다.

Case IDs

선택사항입니다.

처리할 케이스의 쉼표로 구분된 목록입니다.

아무것도 제공되지 않으면 작업이 실행된 케이스 ID가 사용됩니다.

Case Tag To Wait For

필수 항목입니다.

작업은 실행이 완료되기 전에 케이스가 이 값으로 태그될 때까지 기다립니다.

작업 출력

Async 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용 불가
케이스 월 링크	사용 불가
케이스 월 테이블	사용 불가
항목 보강 테이블	사용 불가
JSON 결과	사용 가능
출력 메시지	사용 가능
스크립트 결과	사용 가능

JSON 결과

다음 예는 Async 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.

[{
   "case_id": "123",
   "tags": ["Async"]
}, {
   "case_id": "123",
   "tags": ["Async"]
},]

출력 메시지

Async 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

출력 메시지	메시지 설명
`The following cases have tag TAG: CASE_ID`	작업이 완료되었습니다.
`Error executing action "Async Action Example". Reason: ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인하세요.

The following cases have tag TAG: CASE_ID

작업이 완료되었습니다.

Error executing action
      "Async Action Example". Reason:
      ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인하세요.

스크립트 결과

다음 표에는 Async 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`True` 또는 `False`

커넥터

Google SecOps에서 커넥터를 구성하는 방법을 자세히 알아보려면 데이터 수집 (커넥터)을 참고하세요.

샘플 통합 - 간단한 커넥터 예

샘플 통합 - 간단한 커넥터 예시를 사용하여 api.vatcomply.com 서비스에서 통화 환율 및 기타 데이터를 가져옵니다.

동적 목록을 사용하려면 alert_type 매개변수를 사용하세요.

커넥터 입력

Google Threat Intelligence - DTM Alerts Connector에는 다음 매개변수가 필요합니다.

매개변수	설명
`Product Field Name`	필수 항목입니다. 제품 이름이 저장된 필드의 이름입니다. 제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값은 코드에서 참조되는 대체 값으로 확인됩니다. 이 매개변수의 잘못된 입력은 기본적으로 대체 값으로 처리됩니다. 기본값은 `Product Name`입니다.
`Event Field Name`	필수 항목입니다. 이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다. 기본값은 `event_type`입니다.
`Environment Field Name`	선택사항입니다. 환경 이름이 저장된 필드의 이름입니다. 환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다. 기본값은 `""`입니다.
`Environment Regex Pattern`	선택사항입니다. `Environment Field Name` 필드에 있는 값에서 실행할 정규 표현식 패턴입니다. 이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다. 기본값 `.*`를 사용하여 필요한 원시 `Environment Field Name` 값을 가져옵니다. 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.
`Script Timeout (Seconds)`	필수 항목입니다. 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. 기본값은 `180`입니다.
`API Root`	필수 항목입니다. 통합 인스턴스의 API 루트입니다. 이 예시에서는 [VAT Comply](https://www.vatcomply.com/) 서비스를 사용하여 API 루트 `api.vatcomply.com`과 통합합니다. 기본값은 `http://api.vatcomply.com`입니다.
`Password Field`	선택사항입니다. API 비밀번호 필드의 예 이 매개변수는 데모 목적으로만 포함되며 API에서 인증에 필요하지 않습니다. 기본값은 `Google SecOps`입니다.
`Currencies To Fetch`	선택사항입니다. 가져올 환율입니다. 기본값은 `USD, EUR`입니다.
`Create Alert Per Exchange Rate`	선택사항입니다. 이 옵션을 사용 설정하면 커넥터가 각 환율에 대해 별도의 알림을 생성합니다.
`Alert Severity`	선택사항입니다. 알림의 심각도 수준입니다. 사용할 수 있는 값은 다음과 같습니다. `Critical` `High` `Medium` `Low` `Informational` 기본값은 `Informational`입니다.
`Add Attachment`	선택사항입니다. 사용 설정된 경우 커넥터는 JSON 객체를 알림에 추가합니다. 기본값은 `True`입니다.
`Max Days Backwards`	필수 항목입니다. 알림을 가져올 과거 일수입니다. 최댓값은 `30`입니다. 기본값은 `1`입니다.
`Max Alerts To Fetch`	필수 항목입니다. 각 커넥터 반복에서 처리할 알림 수입니다. 기본값은 `3`입니다.
`Use dynamic list as a blocklist`	필수 항목입니다. 선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다. 기본적으로 선택되지 않습니다.
`Disable Overflow`	선택사항입니다. 선택하면 커넥터가 Google SecOps 오버플로 메커니즘을 무시합니다. 기본적으로 선택되어 있습니다.
`Verify SSL`	필수 항목입니다. 선택하면 작업에서 API 서버의 SSL 인증서를 검증합니다. 기본적으로 선택되어 있습니다.
`Proxy Server Address`	선택사항입니다. 사용할 프록시 서버의 주소입니다.
`Proxy Username`	선택사항입니다. 인증할 프록시 사용자 이름입니다.
`Proxy Password`	선택사항입니다. 인증할 프록시 비밀번호입니다.

작업

샘플 통합에서는 다음 작업을 사용할 수 있습니다.

간단한 작업 예시

간단한 작업 예시

Simple Job Example 작업을 사용하여 케이스를 자동으로 관리합니다.

이 작업에는 두 가지 기본 기능이 있습니다.

Closed 태그가 있는 경우 케이스를 종료합니다.
Currency 태그가 있는 경우 케이스에 댓글을 추가합니다.

작업 입력

이 작업을 구성하려면 다음 매개변수를 사용하세요.

매개변수

매개변수
`API Root`	필수 항목입니다. 통합 인스턴스의 API 루트입니다. 이 예시에서는 [VAT Comply](https://www.vatcomply.com/) 서비스를 사용하여 API 루트 `api.vatcomply.com`과 통합합니다. 기본값은 `http://api.vatcomply.com`입니다.
`Password Field`	선택사항입니다. API 비밀번호 필드의 예 이 매개변수는 데모 목적으로만 포함되며 API에서 인증에 필요하지 않습니다. 기본값은 `Google SecOps`입니다.
`Verify SSL`	필수 항목입니다. 선택하면 작업에서 API 서버의 SSL 인증서를 검증합니다. 기본적으로 선택되어 있습니다.

API Root

필수 항목입니다.

통합 인스턴스의 API 루트입니다.

이 예시에서는 [VAT Comply](https://www.vatcomply.com/) 서비스를 사용하여 API 루트 `api.vatcomply.com`과 통합합니다.

기본값은 http://api.vatcomply.com입니다.

Password Field

선택사항입니다.

API 비밀번호 필드의 예

이 매개변수는 데모 목적으로만 포함되며 API에서 인증에 필요하지 않습니다.

기본값은 Google SecOps입니다.

Verify SSL

필수 항목입니다.

선택하면 작업에서 API 서버의 SSL 인증서를 검증합니다.

기본적으로 선택되어 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.