Integre uma integração de exemplo com o Google SecOps

Este documento é um guia abrangente para uma integração de exemplo que demonstra padrões de design comuns para criar ações, conetores e tarefas para o Google Security Operations (Google SecOps).

Versão da integração: 1.0

Parâmetros de integração

A integração de exemplo requer os seguintes parâmetros:

Parâmetro Descrição
API Root

Obrigatório.

A raiz da API para a instância de integração.

Neste exemplo, está a usar o serviço VAT Comply para fazer a integração com a raiz da API api.vatcomply.com.

O valor predefinido é http://api.vatcomply.com.
Password Field

Opcional.

Um exemplo de um campo de palavra-passe da API.

Este parâmetro é incluído apenas para fins de demonstração e não é necessário para a autenticação da API.

O valor predefinido é Google SecOps.
Verify SSL

Obrigatório.

Se selecionada, a ação valida o certificado SSL do servidor da API.

Selecionado por predefinição.

Para ver instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.

Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de procedimentos. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.

Ações

Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Realize uma ação manual.

Tchim-tchim

Use a ação Ping para testar a conetividade à integração.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

Nenhum.

Resultados da ação

A ação Ping fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para capas Não disponível
Tabela de enriquecimento Não disponível
Resultado JSON Não disponível
Mensagens de saída Disponível
Resultado do script. Disponível
Mensagens de saída

A ação Ping pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully connected to the API Service server with the provided connection parameters!

 A ação foi bem-sucedida.
Failed to connect to the API Service server! Error is ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:

Nome do resultado do script Valor
is_success True ou False

Exemplo de ação simples

Este é um exemplo de uma ação básica no Google SecOps.

Esta ação obtém dados do serviço api.vatcomply.com com base nos parâmetros fornecidos.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

Parâmetro Descrição
Currencies String

Este é um exemplo de um parâmetro que aceita uma lista de valores separada por vírgulas.

Opcional.

Uma lista de moedas a processar separada por vírgulas.

O valor predefinido é USD, EUR.
Currencies DDL

Este é um exemplo de um parâmetro que aceita uma lista pendente de valores.

Opcional.

Uma lista pendente de moedas a processar.

O valor predefinido é Select One.

Os valores possíveis são:

  • Select One
  • USD
  • EUR
  • CAD
Time Frame

Opcional.

O período para os resultados.

O valor predefinido é Today.

Os valores possíveis são:

  • Today
  • Last 7 Days
  • Custom

Se selecionar Custom, também tem de fornecer um valor para o parâmetro Start Time.
Start Time

Opcional.

A hora de início dos resultados no formato ISO 8601.

Este parâmetro é obrigatório se selecionar Custom para o parâmetro Time Frame.

O período entre Start Time e End Time não pode ser superior a sete dias.

A ação usa apenas a parte de data da indicação de tempo.
End Time

Opcional.

A hora de fim dos resultados no formato ISO 8601.

Se selecionar Custom para o Time Frame e não indicar um valor, a ação usa a hora atual.

O intervalo de tempo entre Start Time e End Time não pode ser superior a sete dias.

A ação usa apenas a parte de data da indicação de tempo.
Return JSON Result

Este é um exemplo de uma entrada booleana.

Opcional.

Se estiver ativada, a ação devolve um resultado JSON.

Selecionado por predefinição.

Resultados da ação

A ação Search Graphs fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Disponível
Link da parede da caixa Disponível
Mesa de parede para capas Disponível
Tabela de enriquecimento Não disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível

A ação devolve o seguinte link:

  • Moeda: https://www.vatcomply.com/currencies/BASE_CURRENCY/date/DATE
Mesa de parede para capas

A ação fornece a seguinte tabela para cada resposta da API:

Nome da tabela: Moeda: {base} – {date}

Colunas da tabela:

  • Moeda (rate.keyname)
  • Valor (rate.keyname.value)
Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação:

[
   {
       "date": "2000-03-03",
       "exchange_rates": [
           {
               "base": "USD",
               "rates": {
                   "EUR": 1.035303861683404,
                   "USD": 1.0,
                   "JPY": 107.8476032715602,
                   "CYP": 0.5955481933947614,
                   "CZK": 36.87752355316285,
                   "DKK": 7.711357283362667,
                   "EEK": 16.19898540221555,
                   "GBP": 0.6332953721917383,
                   "HUF": 265.60720571487735,
                   "LTL": 4.001035303861683,
                   "LVL": 0.5954032508541256,
                   "MTL": 0.4235428098146806,
                   "PLN": 4.125168236877524,
                   "ROL": 18961.590226731547,
                   "SEK": 8.769023708458434,
                   "SIT": 209.5625841184388,
                   "SKK": 43.26845429133451,
                   "CHF": 1.6630085930220522,
                   "ISK": 73.39269075473652,
                   "NOK": 8.369396417848638,
                   "TRL": 574745.8329019567,
                   "AUD": 1.647479035096801,
                   "CAD": 1.454705456051351,
                   "HKD": 7.782379128274149,
                   "KRW": 1119.9503054146392,
                   "NZD": 2.0485557511129517,
                   "SGD": 1.7232632777720263,
                   "ZAR": 6.4730303344031475
               }
           },
           {
               "base": "EUR",
               "rates": {
                   "EUR": 1.0,
                   "USD": 0.9659,
                   "JPY": 104.17,
                   "CYP": 0.57524,
                   "CZK": 35.62,
                   "DKK": 7.4484,
                   "EEK": 15.6466,
                   "GBP": 0.6117,
                   "HUF": 256.55,
                   "LTL": 3.8646,
                   "LVL": 0.5751,
                   "MTL": 0.4091,
                   "PLN": 3.9845,
                   "ROL": 18315.0,
                   "SEK": 8.47,
                   "SIT": 202.4165,
                   "SKK": 41.793,
                   "CHF": 1.6063,
                   "ISK": 70.89,
                   "NOK": 8.084,
                   "TRL": 555147.0,
                   "AUD": 1.5913,
                   "CAD": 1.4051,
                   "HKD": 7.517,
                   "KRW": 1081.76,
                   "NZD": 1.9787,
                   "SGD": 1.6645,
                   "ZAR": 6.2523
               }
           }
       ]
   }
]
Mensagens de saída

A ação pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully returned information about the following currencies from START_TIME to END_TIME: "CURRENCIES"

 A ação foi bem-sucedida.
Error executing action "ACTION_NAME". Reason: ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação:

Nome do resultado do script Valor
is_success True ou False

Exemplo de ação de entidade de enriquecimento

Este é um exemplo de uma ação que funciona com e enriquece entidades no Google SecOps.

Esta ação é executada em todas as entidades do Google SecOps fornecidas no parâmetro Entity Type.

Dados de ações

A ação Enrich Entity requer os seguintes parâmetros:

Parâmetro Descrição
Entity Type

Obrigatório.

As entidades do âmbito do alerta a processar.

O valor predefinido é All Entities.

Os valores possíveis são:

  • IP
  • Hash
  • User

Resultados da ação

A ação Enrich Entity fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para capas Não disponível
Tabela de enriquecimento de entidades Disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Tabela de enriquecimento de entidades

A ação Enrich Entity suporta o seguinte enriquecimento para entidades:

Campo de enriquecimento Origem (chave JSON) Aplicabilidade
SampleIntegration_enriched true Quando estiver disponível no resultado JSON.
SampleIntegration_timestamp timestamp Quando estiver disponível no resultado JSON.
Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Enrich Entity:

{
   "Entity": "Entity",
   "EntityResult": [
       {
           "enriched": "true",
           "timestamp": "12123213123"
       }
   ]
}
Mensagens de saída

A ação Enrich Entity pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Successfully enriched the following entities: ENTITIES

 A ação foi bem-sucedida.
No eligible entities were found in the scope of the alert.

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Enrich Entity:

Nome do resultado do script Valor
is_success True ou False

Exemplo de ação assíncrona

Este é um exemplo de uma ação assíncrona no Google SecOps.

A ação não termina a execução até que o limite de tempo seja atingido ou os casos tenham uma etiqueta especificada no parâmetro Case Tag To Wait For.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Async requer os seguintes parâmetros:

Parâmetro Descrição
Case IDs

Opcional.

Uma lista separada por vírgulas de casos a processar.

Se não for fornecido nada, a ação usa o ID do registo a partir do qual a ação foi executada.
Case Tag To Wait For

Obrigatório.

A ação aguarda que os registos sejam etiquetados com este valor antes de terminar a execução.

Resultados da ação

A ação Async fornece os seguintes resultados:

Tipo de saída da ação Disponibilidade
Fixação à parede da caixa Não disponível
Link da parede da caixa Não disponível
Mesa de parede para capas Não disponível
Tabela de enriquecimento de entidades Não disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Async:

[{
   "case_id": "123",
   "tags": ["Async"]
}, {
   "case_id": "123",
   "tags": ["Async"]
},]
Mensagens de saída

A ação Async pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

The following cases have tag TAG: CASE_ID

 A ação foi bem-sucedida.
Error executing action "Async Action Example". Reason: ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Async:

Nome do resultado do script Valor
is_success True ou False

Conetores

Para mais informações sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).

Exemplo de integração – Exemplo de conetor simples

Use a integração de exemplo – exemplo de conetor simples para obter taxas de câmbio e outros dados do serviço api.vatcomply.com.

Para trabalhar com uma lista dinâmica, use o parâmetro alert_type.

Entradas do conetor

O Google Threat Intelligence - DTM Alerts Connector requer os seguintes parâmetros:

Parâmetro Descrição
Product Field Name

Obrigatório.

O nome do campo onde o nome do produto está armazenado.

O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição.

O valor predefinido é Product Name.
Event Field Name

Obrigatório.

O nome do campo que determina o nome do evento (subtipo).

O valor predefinido é event_type.
Environment Field Name

Opcional.

O nome do campo onde o nome do ambiente está armazenado.

Se o campo de ambiente estiver em falta, o conector usa o valor predefinido.

O valor predefinido é "".
Environment Regex Pattern

Opcional.

Um padrão de expressão regular a executar no valor encontrado no campo Environment Field Name. Este parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular.

Use o valor predefinido .* para obter o valor bruto Environment Field Name necessário.

Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido.
Script Timeout (Seconds)

Obrigatório.

O limite de tempo limite, em segundos, para o processo Python que executa o script atual.

O valor predefinido é 180.
API Root

Obrigatório.

A raiz da API para a instância de integração.

Neste exemplo, o serviço [VAT Comply](https://www.vatcomply.com/) está a ser usado para integração com a raiz da API `api.vatcomply.com`.

O valor predefinido é http://api.vatcomply.com.
Password Field

Opcional.

Um exemplo de um campo de palavra-passe da API.

Este parâmetro é incluído apenas para fins de demonstração e não é necessário para a autenticação da API.

O valor predefinido é Google SecOps.
Currencies To Fetch

Opcional.

As taxas de câmbio a obter.

O valor predefinido é USD, EUR.
Create Alert Per Exchange Rate

Opcional.

Se estiver ativado, o conector cria um alerta separado para cada taxa de câmbio.
Alert Severity

Opcional.

O nível de gravidade do alerta.

Os valores possíveis são:

  • Critical
  • High
  • Medium
  • Low
  • Informational

O valor predefinido é Informational.
Add Attachment

Opcional.

Se estiver ativado, o conetor adiciona um objeto JSON ao alerta.

O valor predefinido é True.
Max Days Backwards

Obrigatório.

O número de dias anteriores a partir dos quais se devem obter os alertas.

O valor máximo é 30.

O valor predefinido é 1.
Max Alerts To Fetch

Obrigatório.

O número de alertas a processar em cada iteração do conector.

O valor predefinido é 3.
Use dynamic list as a blocklist

Obrigatório.

Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios.

Não selecionado por predefinição.
Disable Overflow

Opcional.

Se selecionado, o conector ignora o mecanismo de overflow do Google SecOps.

Selecionado por predefinição.
Verify SSL

Obrigatório.

Se selecionada, a ação valida o certificado SSL do servidor da API.

Selecionado por predefinição.
Proxy Server Address

Opcional.

O endereço do servidor proxy a usar.
Proxy Username

Opcional.

O nome de utilizador do proxy para autenticação.
Proxy Password

Opcional.

A palavra-passe do proxy para autenticação.

Empregos

A integração de exemplo permite a utilização da seguinte tarefa:

Exemplo de tarefa simples

Use a tarefa Simple Job Example para gerir automaticamente os registos.

Esta tarefa tem duas funções principais:

  • Encerre um registo se tiver a etiqueta Closed.

  • Adicione um comentário a um registo se tiver uma etiqueta Currency.

Dados de tarefas

Para configurar esta tarefa, use os seguintes parâmetros:

Parâmetros
API Root

Obrigatório.

A raiz da API para a instância de integração.

Neste exemplo, o serviço [VAT Comply](https://www.vatcomply.com/) está a ser usado para integração com a raiz da API `api.vatcomply.com`.

O valor predefinido é http://api.vatcomply.com.
Password Field

Opcional.

Um exemplo de um campo de palavra-passe da API.

Este parâmetro é incluído apenas para fins de demonstração e não é necessário para a autenticação da API.

O valor predefinido é Google SecOps.
Verify SSL

Obrigatório.

Se selecionada, a ação valida o certificado SSL do servidor da API.

Selecionado por predefinição.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.