将示例集成与 Google SecOps 集成
本文档是一份综合指南,介绍了如何通过示例集成来演示为 Google Security Operations (Google SecOps) 构建操作、连接器和作业的常见设计模式。
集成参数
示例集成需要以下参数:
| 参数 | 说明 |
|---|---|
API Root |
必填。 集成实例的 API 根。 在此示例中,VAT Comply 服务正用于与 API 根 默认值为 |
Password Field |
可选。 API 密码字段示例。 此参数仅用于演示目的,API 在进行身份验证时不需要此参数。 默认值为 |
Verify SSL |
必填。 如果选中,该操作会验证 API 服务器的 SSL 证书。 此选项将会默认选中。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在 playbook 中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行人工处置措施。
Ping
使用 Ping 操作测试与集成服务的连接。
此操作不适用于 Google SecOps 实体。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果。 | 可用 |
输出消息
Ping 操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Failed to connect to the
API Service server!
Error is ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
简单操作示例
以下是 Google SecOps 中的基本操作示例。
此操作会根据提供的参数从 api.vatcomply.com 服务中提取数据。
此操作不适用于 Google SecOps 实体。
操作输入
| 参数 | 说明 |
|---|---|
Currencies String |
此示例展示了接受逗号分隔列表的参数。 可选。 要处理的币种的英文逗号分隔列表。 默认值为 |
Currencies DDL |
此示例展示了一个接受下拉列表值的参数。 可选。 要处理的币种的下拉列表。 默认值为 可能的值包括: |
Time Frame |
可选。 结果的时间范围。 默认值为 可能的值包括: 如果您选择 |
Start Time |
可选。 结果的开始时间,采用 ISO 8601 格式。 如果您为
该操作仅使用时间戳的日期部分。 |
End Time |
可选。 结果的结束时间,采用 ISO 8601 格式。 如果您为
该操作仅使用时间戳的日期部分。 |
Return JSON Result |
这是一个布尔值输入的示例。 可选。 如果启用,该操作会返回 JSON 结果。 此选项将会默认选中。 |
操作输出
搜索图操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 可用 |
| 案例墙链接 | 可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
案例墙链接
该操作会返回以下链接:
- 币种:
https://www.vatcomply.com/currencies/BASE_CURRENCY/date/DATE
“支持请求墙”表格
该操作会为每个 API 响应提供下表:
表格名称:币种:{base} - {date}
表列:
- 币种 (rate.keyname)
- 值(rate.keyname.value)
JSON 结果
以下示例展示了使用该操作时收到的 JSON 结果输出:
[
{
"date": "2000-03-03",
"exchange_rates": [
{
"base": "USD",
"rates": {
"EUR": 1.035303861683404,
"USD": 1.0,
"JPY": 107.8476032715602,
"CYP": 0.5955481933947614,
"CZK": 36.87752355316285,
"DKK": 7.711357283362667,
"EEK": 16.19898540221555,
"GBP": 0.6332953721917383,
"HUF": 265.60720571487735,
"LTL": 4.001035303861683,
"LVL": 0.5954032508541256,
"MTL": 0.4235428098146806,
"PLN": 4.125168236877524,
"ROL": 18961.590226731547,
"SEK": 8.769023708458434,
"SIT": 209.5625841184388,
"SKK": 43.26845429133451,
"CHF": 1.6630085930220522,
"ISK": 73.39269075473652,
"NOK": 8.369396417848638,
"TRL": 574745.8329019567,
"AUD": 1.647479035096801,
"CAD": 1.454705456051351,
"HKD": 7.782379128274149,
"KRW": 1119.9503054146392,
"NZD": 2.0485557511129517,
"SGD": 1.7232632777720263,
"ZAR": 6.4730303344031475
}
},
{
"base": "EUR",
"rates": {
"EUR": 1.0,
"USD": 0.9659,
"JPY": 104.17,
"CYP": 0.57524,
"CZK": 35.62,
"DKK": 7.4484,
"EEK": 15.6466,
"GBP": 0.6117,
"HUF": 256.55,
"LTL": 3.8646,
"LVL": 0.5751,
"MTL": 0.4091,
"PLN": 3.9845,
"ROL": 18315.0,
"SEK": 8.47,
"SIT": 202.4165,
"SKK": 41.793,
"CHF": 1.6063,
"ISK": 70.89,
"NOK": 8.084,
"TRL": 555147.0,
"AUD": 1.5913,
"CAD": 1.4051,
"HKD": 7.517,
"KRW": 1081.76,
"NZD": 1.9787,
"SGD": 1.6645,
"ZAR": 6.2523
}
}
]
}
]
输出消息
该操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action
"ACTION_NAME". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用相应操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
“丰富实体”操作示例
以下是一个可与 Google SecOps 中的实体搭配使用并扩充这些实体的操作示例。
此操作针对参数 Entity Type 中提供的所有 Google SecOps 实体运行。
操作输入
丰富实体操作需要以下参数:
| 参数 | 说明 |
|---|---|
Entity Type |
必填。 要处理的提醒范围内的实体。 默认值为 可能的值包括: |
操作输出
丰富实体操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
实体丰富化表
丰富实体操作支持以下实体丰富功能:
| 扩充项字段 | 来源(JSON 键) | 适用性 |
|---|---|---|
SampleIntegration_enriched |
true |
当 JSON 结果中提供相应信息时。 |
SampleIntegration_timestamp |
timestamp |
当 JSON 结果中提供相应信息时。 |
JSON 结果
以下示例展示了使用丰富实体操作时收到的 JSON 结果输出:
{
"Entity": "Entity",
"EntityResult": [
{
"enriched": "true",
"timestamp": "12123213123"
}
]
}
输出消息
丰富实体操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
No eligible entities were found in the scope of the alert. |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用丰富实体操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
异步操作示例
以下是 Google SecOps 中的异步操作示例。
在达到超时时间或相应情形在 Case Tag To Wait For 参数中指定了标记之前,该操作不会完成执行。
此操作不适用于 Google SecOps 实体。
操作输入
异步操作需要以下参数:
| 参数 | 说明 |
|---|---|
Case IDs |
可选。 要处理的测试用例的逗号分隔列表。 如果未提供任何内容,则操作会使用执行操作的支持请求的 ID。 |
Case Tag To Wait For |
必填。 该操作会等待相应支持请求被标记为该值,然后才会完成执行。 |
操作输出
异步操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 实体丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用 Async 操作时收到的 JSON 结果输出:
[{
"case_id": "123",
"tags": ["Async"]
}, {
"case_id": "123",
"tags": ["Async"]
},]
输出消息
异步操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action
"Async Action Example". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Async 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
连接器
如需详细了解如何在 Google SecOps 中配置连接器,请参阅注入数据(连接器)。
示例集成 - 简单连接器示例
使用示例集成 - 简单连接器示例从 api.vatcomply.com 服务检索汇率和其他数据。
如需使用动态列表,请使用 alert_type 参数。
连接器输入
Google Threat Intelligence - DTM Alerts Connector 需要以下参数:
| 参数 | 说明 |
|---|---|
Product Field Name |
必填。 存储商品名称的字段的名称。 商品名称主要会影响映射。为了简化和改进连接器的映射流程,默认值会解析为从代码引用的回退值。默认情况下,此参数的任何无效输入都会解析为回退值。 默认值为 |
Event Field Name |
必需。 用于确定事件名称(子类型)的字段的名称。 默认值为 |
Environment Field Name |
可选。 存储环境名称的字段的名称。 如果缺少环境字段,连接器会使用默认值。 默认值为 |
Environment Regex Pattern |
可选。 要对在 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Script Timeout (Seconds) |
必填。 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 |
API Root |
必填。 集成实例的 API 根。 在此示例中,[VAT Comply](https://www.vatcomply.com/) 服务正用于与 API 根 `api.vatcomply.com` 进行集成。 默认值为 |
Password Field |
可选。 API 密码字段示例。 此参数仅用于演示目的,API 在进行身份验证时不需要此参数。 默认值为 |
Currencies To Fetch |
可选。 要检索的汇率。 默认值为 |
Create Alert Per Exchange Rate |
可选。 如果启用,连接器会为每个汇率创建单独的提醒。 |
Alert Severity |
可选。 提醒的严重程度。 可能的值包括:
默认值为 |
Add Attachment |
可选。 如果启用,连接器会将 JSON 对象添加到提醒中。 默认值为 |
Max Days Backwards |
必填。 要检索的提醒所对应的回溯天数。 最大值为 默认值为 |
Max Alerts To Fetch |
必填。 每次连接器迭代要处理的提醒数量。 默认值为 |
Use dynamic list as a blocklist |
必填。 如果选中此选项,连接器会将动态列表用作屏蔽列表。 默认情况下未选中。 |
Disable Overflow |
可选。 如果选中此选项,连接器会忽略 Google SecOps 溢出机制。 此选项将会默认选中。 |
Verify SSL |
必填。 如果选中,该操作会验证 API 服务器的 SSL 证书。 此选项将会默认选中。 |
Proxy Server Address |
可选。 要使用的代理服务器的地址。 |
Proxy Username |
可选。 用于进行身份验证的代理用户名。 |
Proxy Password |
可选。 用于进行身份验证的代理密码。 |
作业
此集成示例允许使用以下作业:
简单作业示例
使用简单作业示例作业自动管理支持请求。
此作业有两项主要功能:
如果支持请求带有
Closed标记,请将其关闭。如果支持请求带有
Currency标记,则向其添加评论。
作业输入
如需配置此作业,请使用以下参数:
| 参数 | |
|---|---|
API Root |
必填。 集成实例的 API 根。 在此示例中,[VAT Comply](https://www.vatcomply.com/) 服务正用于与 API 根 `api.vatcomply.com` 进行集成。 默认值为 |
Password Field |
可选。 API 密码字段示例。 此参数仅用于演示目的,API 在进行身份验证时不需要此参数。 默认值为 |
Verify SSL |
必填。 如果选中,该操作会验证 API 服务器的 SSL 证书。 此选项将会默认选中。 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。