Integrar uma amostra ao Google SecOps

Este documento é um guia abrangente para uma integração de amostra que demonstra padrões de design comuns para criar ações, conectores e jobs para o Google Security Operations (Google SecOps).

Parâmetros de integração

A integração de amostra requer os seguintes parâmetros:

Parâmetro Descrição
API Root

Obrigatório.

A raiz da API para a instância de integração.

Neste exemplo, o serviço VAT Comply está sendo usado para integrar com a raiz da API api.vatcomply.com.

O valor padrão é http://api.vatcomply.com.
Password Field

Opcional.

Exemplo de um campo de senha da API.

Esse parâmetro é incluído apenas para fins de demonstração e não é necessário para autenticação pela API.

O valor padrão é Google SecOps.
Verify SSL

Obrigatório.

Se selecionada, a ação valida o certificado SSL do servidor da API.

Essa opção é selecionada por padrão.

Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.

Ações

Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.

Ping

Use a ação Ping para testar a conectividade com a integração.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Nenhuma.

Saídas de ação

A ação Ping fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Bloqueio de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento Indisponível
Resultado JSON Indisponível
Mensagens de saída Disponível
Resultado do script. Disponível
Mensagens de saída

A ação Ping pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully connected to the API Service server with the provided connection parameters!

 A ação foi concluída.
Failed to connect to the API Service server! Error is ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:

Nome do resultado do script Valor
is_success True ou False

Exemplo de ação simples

Este é um exemplo de uma ação básica no Google SecOps.

Essa ação busca dados do serviço api.vatcomply.com com base nos parâmetros fornecidos.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

Parâmetro Descrição
Currencies String

Este é um exemplo de um parâmetro que aceita uma lista de valores separados por vírgulas.

Opcional.

Uma lista separada por vírgulas de moedas a serem processadas.

O valor padrão é USD, EUR.
Currencies DDL

Este é um exemplo de um parâmetro que aceita uma lista suspensa de valores.

Opcional.

Uma lista suspensa de moedas a serem processadas.

O valor padrão é Select One.

Os valores possíveis são:

  • Select One
  • USD
  • EUR
  • CAD
Time Frame

Opcional.

O período dos resultados.

O valor padrão é Today.

Os valores possíveis são:

  • Today
  • Last 7 Days
  • Custom

Se você selecionar Custom, também vai precisar fornecer um valor para o parâmetro Start Time.
Start Time

Opcional.

O horário de início dos resultados no formato ISO 8601.

Esse parâmetro é obrigatório se você selecionar Custom para o parâmetro Time Frame.

O período entre Start Time e End Time não pode ser maior que sete dias.

A ação usa apenas a parte da data do carimbo de data/hora.
End Time

Opcional.

O horário de término dos resultados no formato ISO 8601.

Se você selecionar Custom para Time Frame e não informar um valor, a ação vai usar a hora atual.

O período entre Start Time e End Time não pode ser maior que sete dias.

A ação usa apenas a parte da data do carimbo de data/hora.
Return JSON Result

Este é um exemplo de entrada booleana.

Opcional.

Se ativada, a ação retorna um resultado JSON.

Essa opção é selecionada por padrão.

Saídas de ação

A ação Pesquisar gráficos fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Disponível
Link do Bloqueio de Casos Disponível
Tabela do painel de casos Disponível
Tabela de enriquecimento Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível

A ação retorna o seguinte link:

  • Moeda: https://www.vatcomply.com/currencies/BASE_CURRENCY/date/DATE
Tabela do painel de casos

A ação fornece a seguinte tabela para cada resposta da API:

Nome da tabela: Moeda: {base} - {date}

Colunas da tabela:

  • Moeda (rate.keyname)
  • Valor (rate.keyname.value)
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação:

[
   {
       "date": "2000-03-03",
       "exchange_rates": [
           {
               "base": "USD",
               "rates": {
                   "EUR": 1.035303861683404,
                   "USD": 1.0,
                   "JPY": 107.8476032715602,
                   "CYP": 0.5955481933947614,
                   "CZK": 36.87752355316285,
                   "DKK": 7.711357283362667,
                   "EEK": 16.19898540221555,
                   "GBP": 0.6332953721917383,
                   "HUF": 265.60720571487735,
                   "LTL": 4.001035303861683,
                   "LVL": 0.5954032508541256,
                   "MTL": 0.4235428098146806,
                   "PLN": 4.125168236877524,
                   "ROL": 18961.590226731547,
                   "SEK": 8.769023708458434,
                   "SIT": 209.5625841184388,
                   "SKK": 43.26845429133451,
                   "CHF": 1.6630085930220522,
                   "ISK": 73.39269075473652,
                   "NOK": 8.369396417848638,
                   "TRL": 574745.8329019567,
                   "AUD": 1.647479035096801,
                   "CAD": 1.454705456051351,
                   "HKD": 7.782379128274149,
                   "KRW": 1119.9503054146392,
                   "NZD": 2.0485557511129517,
                   "SGD": 1.7232632777720263,
                   "ZAR": 6.4730303344031475
               }
           },
           {
               "base": "EUR",
               "rates": {
                   "EUR": 1.0,
                   "USD": 0.9659,
                   "JPY": 104.17,
                   "CYP": 0.57524,
                   "CZK": 35.62,
                   "DKK": 7.4484,
                   "EEK": 15.6466,
                   "GBP": 0.6117,
                   "HUF": 256.55,
                   "LTL": 3.8646,
                   "LVL": 0.5751,
                   "MTL": 0.4091,
                   "PLN": 3.9845,
                   "ROL": 18315.0,
                   "SEK": 8.47,
                   "SIT": 202.4165,
                   "SKK": 41.793,
                   "CHF": 1.6063,
                   "ISK": 70.89,
                   "NOK": 8.084,
                   "TRL": 555147.0,
                   "AUD": 1.5913,
                   "CAD": 1.4051,
                   "HKD": 7.517,
                   "KRW": 1081.76,
                   "NZD": 1.9787,
                   "SGD": 1.6645,
                   "ZAR": 6.2523
               }
           }
       ]
   }
]
Mensagens de saída

A ação pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully returned information about the following currencies from START_TIME to END_TIME: "CURRENCIES"

 A ação foi concluída.
Error executing action "ACTION_NAME". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação:

Nome do resultado do script Valor
is_success True ou False

Exemplo de ação de enriquecer entidade

Este é um exemplo de uma ação que funciona com e enriquece entidades no Google SecOps.

Essa ação é executada em todas as entidades do Google SecOps fornecidas no parâmetro Entity Type.

Entradas de ação

A ação Enriquecer entidade exige os seguintes parâmetros:

Parâmetro Descrição
Entity Type

Obrigatório.

As entidades do escopo do alerta a serem processadas.

O valor padrão é All Entities.

Os valores possíveis são:

  • IP
  • Hash
  • User

Saídas de ação

A ação Enriquecer entidade fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Bloqueio de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento de entidades Disponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Tabela de enriquecimento de entidades

A ação Enriquecer entidade é compatível com o seguinte enriquecimento para entidades:

Campo de aprimoramento Origem (chave JSON) Aplicabilidade
SampleIntegration_enriched true Quando disponível no resultado JSON.
SampleIntegration_timestamp timestamp Quando disponível no resultado JSON.
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enriquecer entidade:

{
   "Entity": "Entity",
   "EntityResult": [
       {
           "enriched": "true",
           "timestamp": "12123213123"
       }
   ]
}
Mensagens de saída

A ação Enriquecer entidade pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

Successfully enriched the following entities: ENTITIES

 A ação foi concluída.
No eligible entities were found in the scope of the alert.

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer entidade:

Nome do resultado do script Valor
is_success True ou False

Exemplo de ação assíncrona

Este é um exemplo de uma ação assíncrona no Google SecOps.

A ação não será concluída até que o tempo limite seja atingido ou que os casos tenham uma tag especificada no parâmetro Case Tag To Wait For.

Essa ação não é executada em entidades do Google SecOps.

Entradas de ação

A ação Async exige os seguintes parâmetros:

Parâmetro Descrição
Case IDs

Opcional.

Uma lista separada por vírgulas de casos a serem processados.

Se nada for informado, a ação usará o ID do caso em que ela foi executada.
Case Tag To Wait For

Obrigatório.

A ação aguarda que os casos sejam marcados com esse valor antes de concluir a execução.

Saídas de ação

A ação Async fornece as seguintes saídas:

Tipo de saída da ação Disponibilidade
Anexo do Painel de Casos Indisponível
Link do Bloqueio de Casos Indisponível
Tabela do painel de casos Indisponível
Tabela de enriquecimento de entidades Indisponível
Resultado JSON Disponível
Mensagens de saída Disponível
Resultado do script Disponível
Resultado JSON

O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Async:

[{
   "case_id": "123",
   "tags": ["Async"]
}, {
   "case_id": "123",
   "tags": ["Async"]
},]
Mensagens de saída

A ação Async pode retornar as seguintes mensagens de saída:

Mensagem de resposta Descrição da mensagem

The following cases have tag TAG: CASE_ID

 A ação foi concluída.
Error executing action "Async Action Example". Reason: ERROR_REASON

A ação falhou.

Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais.
Resultado do script

A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Async:

Nome do resultado do script Valor
is_success True ou False

Conectores

Para saber mais sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).

Exemplo de integração: exemplo de conector simples

Use a Integração de amostra: exemplo de conector simples para recuperar taxas de câmbio e outros dados do serviço api.vatcomply.com.

Para trabalhar com uma lista dinâmica, use o parâmetro alert_type.

Entradas do conector

O conector de alertas do Google Threat Intelligence - DTM exige os seguintes parâmetros:

Parâmetro Descrição
Product Field Name

Obrigatório.

O nome do campo em que o nome do produto é armazenado.

O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão.

O valor padrão é Product Name.
Event Field Name

Obrigatório.

O nome do campo que determina o nome do evento (subtipo).

O valor padrão é event_type.
Environment Field Name

Opcional.

O nome do campo em que o nome do ambiente é armazenado.

Se o campo "environment" estiver ausente, o conector usará o valor padrão.

O valor padrão é "".
Environment Regex Pattern

Opcional.

Um padrão de expressão regular a ser executado no valor encontrado no campo Environment Field Name. Com esse parâmetro, é possível manipular o campo "environment" usando a lógica de expressão regular.

Use o valor padrão .* para extrair o valor Environment Field Name bruto necessário.

Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão.
Script Timeout (Seconds)

Obrigatório.

O limite de tempo limite, em segundos, para o processo do Python que executa o script atual.

O valor padrão é 180.
API Root

Obrigatório.

A raiz da API para a instância de integração.

Neste exemplo, o serviço [VAT Comply](https://www.vatcomply.com/) está sendo usado para integração com a raiz da API `api.vatcomply.com`.

O valor padrão é http://api.vatcomply.com.
Password Field

Opcional.

Exemplo de um campo de senha da API.

Esse parâmetro é incluído apenas para fins de demonstração e não é necessário para autenticação pela API.

O valor padrão é Google SecOps.
Currencies To Fetch

Opcional.

As taxas de câmbio a serem recuperadas.

O valor padrão é USD, EUR.
Create Alert Per Exchange Rate

Opcional.

Se ativado, o conector vai criar um alerta separado para cada taxa de câmbio.
Alert Severity

Opcional.

O nível de gravidade do alerta.

Os valores possíveis são:

  • Critical
  • High
  • Medium
  • Low
  • Informational

O valor padrão é Informational.
Add Attachment

Opcional.

Se ativado, o conector adiciona um objeto JSON ao alerta.

O valor padrão é True.
Max Days Backwards

Obrigatório.

O número de dias anteriores a partir dos quais os alertas serão recuperados.

O valor máximo é 30.

O valor padrão é 1.
Max Alerts To Fetch

Obrigatório.

O número de alertas a serem processados em cada iteração do conector.

O valor padrão é 3.
Use dynamic list as a blocklist

Obrigatório.

Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio.

Não selecionada por padrão.
Disable Overflow

Opcional.

Se selecionado, o conector ignora o mecanismo de estouro do Google SecOps.

Essa opção é selecionada por padrão.
Verify SSL

Obrigatório.

Se selecionada, a ação valida o certificado SSL do servidor da API.

Essa opção é selecionada por padrão.
Proxy Server Address

Opcional.

O endereço do servidor proxy a ser usado.
Proxy Username

Opcional.

O nome de usuário do proxy para autenticação.
Proxy Password

Opcional.

A senha do proxy para autenticação.

Jobs

A integração de exemplo permite o uso do seguinte job:

Exemplo de job simples

Use o job Exemplo de job simples para gerenciar casos automaticamente.

Essa função tem duas funções principais:

  • Feche um caso se ele tiver uma tag Closed.

  • Adicione um comentário a um caso se ele tiver uma tag Currency.

Entradas de jobs

Para configurar esse job, use os seguintes parâmetros:

Parâmetros
API Root

Obrigatório.

A raiz da API para a instância de integração.

Neste exemplo, o serviço [VAT Comply](https://www.vatcomply.com/) está sendo usado para integração com a raiz da API `api.vatcomply.com`.

O valor padrão é http://api.vatcomply.com.
Password Field

Opcional.

Exemplo de um campo de senha da API.

Esse parâmetro é incluído apenas para fins de demonstração e não é necessário para autenticação pela API.

O valor padrão é Google SecOps.
Verify SSL

Obrigatório.

Se selecionada, a ação valida o certificado SSL do servidor da API.

Essa opção é selecionada por padrão.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.