將整合範例與 Google SecOps 整合
本文件是範例整合的完整指南,說明如何運用常見的設計模式,為 Google Security Operations (Google SecOps) 建構動作、連接器和工作。
整合參數
範例整合需要下列參數:
| 參數 | 說明 |
|---|---|
API Root |
必填。 整合執行個體的 API 根目錄。 在本範例中,VAT Comply 服務用於整合,API 根目錄為 預設值為 |
Password Field |
選填。 API 密碼欄位範例。 這個參數僅供示範之用,API 驗證時不需要這個參數。 預設值為 |
Verify SSL |
必填。 如果選取這個選項,動作會驗證 API 伺服器的 SSL 憑證。 (此為預設選項)。 |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。
乒乓
使用 Ping 動作測試與整合服務的連線。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
無
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 輸出訊息 | 可用 |
| 指令碼結果。 | 可用 |
輸出訊息
「Ping」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Failed to connect to the
API Service server!
Error is ERROR_REASON |
動作失敗。 檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Ping」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
簡單的動作範例
這是 Google SecOps 中的基本動作範例。
這項動作會根據提供的參數,從 api.vatcomply.com 服務擷取資料。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
| 參數 | 說明 |
|---|---|
Currencies String |
這個參數接受以半形逗號分隔的值清單。 選填。 以半形逗號分隔的待處理幣別清單。 預設值為 |
Currencies DDL |
這是接受下拉式選單值的參數範例。 選填。 要處理的幣別下拉式清單。 預設值為 可能的值為: |
Time Frame |
選填。 結果的時間範圍。 預設值為 可能的值為: 如果選取 |
Start Time |
選填。 結果的開始時間,採用 ISO 8601 格式。 如果為
這項動作只會使用時間戳記的日期部分。 |
End Time |
選填。 結果的結束時間,採用 ISO 8601 格式。 如果您為
這項動作只會使用時間戳記的日期部分。 |
Return JSON Result |
這是布林輸入的範例。 選填。 如果啟用,動作會傳回 JSON 結果。 (此為預設選項)。 |
動作輸出內容
「搜尋圖表」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 可用 |
| 案件總覽連結 | 可用 |
| 案件總覽表格 | 可用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件總覽連結
這個動作會傳回下列連結:
- 幣別:
https://www.vatcomply.com/currencies/BASE_CURRENCY/date/DATE
案件總覽表格
這項動作會為每個 API 回應提供下表:
表格名稱:幣別:{base} - {date}
資料表欄:
- 幣別 (rate.keyname)
- 值 (rate.keyname.value)
JSON 結果
以下範例顯示使用動作時收到的 JSON 結果輸出內容:
[
{
"date": "2000-03-03",
"exchange_rates": [
{
"base": "USD",
"rates": {
"EUR": 1.035303861683404,
"USD": 1.0,
"JPY": 107.8476032715602,
"CYP": 0.5955481933947614,
"CZK": 36.87752355316285,
"DKK": 7.711357283362667,
"EEK": 16.19898540221555,
"GBP": 0.6332953721917383,
"HUF": 265.60720571487735,
"LTL": 4.001035303861683,
"LVL": 0.5954032508541256,
"MTL": 0.4235428098146806,
"PLN": 4.125168236877524,
"ROL": 18961.590226731547,
"SEK": 8.769023708458434,
"SIT": 209.5625841184388,
"SKK": 43.26845429133451,
"CHF": 1.6630085930220522,
"ISK": 73.39269075473652,
"NOK": 8.369396417848638,
"TRL": 574745.8329019567,
"AUD": 1.647479035096801,
"CAD": 1.454705456051351,
"HKD": 7.782379128274149,
"KRW": 1119.9503054146392,
"NZD": 2.0485557511129517,
"SGD": 1.7232632777720263,
"ZAR": 6.4730303344031475
}
},
{
"base": "EUR",
"rates": {
"EUR": 1.0,
"USD": 0.9659,
"JPY": 104.17,
"CYP": 0.57524,
"CZK": 35.62,
"DKK": 7.4484,
"EEK": 15.6466,
"GBP": 0.6117,
"HUF": 256.55,
"LTL": 3.8646,
"LVL": 0.5751,
"MTL": 0.4091,
"PLN": 3.9845,
"ROL": 18315.0,
"SEK": 8.47,
"SIT": 202.4165,
"SKK": 41.793,
"CHF": 1.6063,
"ISK": 70.89,
"NOK": 8.084,
"TRL": 555147.0,
"AUD": 1.5913,
"CAD": 1.4051,
"HKD": 7.517,
"KRW": 1081.76,
"NZD": 1.9787,
"SGD": 1.6645,
"ZAR": 6.2523
}
}
]
}
]
輸出訊息
這項動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action
"ACTION_NAME". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
豐富實體動作範例
這個範例動作可與 Google SecOps 中的實體搭配運作,並豐富實體內容。
這項動作會對參數 Entity Type 中提供的所有 Google SecOps 實體執行。
動作輸入內容
「Enrich Entity」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Entity Type |
必填。 要處理的警示範圍實體。 預設值為 可能的值為: |
動作輸出內容
「Enrich Entity」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 實體擴充資料表 | 可用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
實體擴充資料表
「Enrich Entity」動作支援下列實體擴充功能:
| 補充資料欄位 | 來源 (JSON 金鑰) | 適用性 |
|---|---|---|
SampleIntegration_enriched |
true |
JSON 結果中提供時。 |
SampleIntegration_timestamp |
timestamp |
JSON 結果中提供時。 |
JSON 結果
以下範例顯示使用「Enrich Entity」(擴充實體) 動作時收到的 JSON 結果輸出內容:
{
"Entity": "Entity",
"EntityResult": [
{
"enriched": "true",
"timestamp": "12123213123"
}
]
}
輸出訊息
「Enrich Entity」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
No eligible entities were found in the scope of the alert. |
動作失敗。 檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Enrich Entity」(擴充實體) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
非同步動作範例
這是 Google SecOps 中的非同步動作範例。
直到達到逾時時間或案件在 Case Tag To Wait For 參數中指定代碼為止,動作都不會完成執行。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
Async 動作需要下列參數:
| 參數 | 說明 |
|---|---|
Case IDs |
選填。 以半形逗號分隔的待處理案件清單。 如未提供任何資訊,動作會使用執行動作的案件 ID。 |
Case Tag To Wait For |
必填。 這項動作會等待案件標記這個值,然後才會完成執行。 |
動作輸出內容
「Async」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件總覽表格 | 無法使用 |
| 實體擴充資料表 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用 Async 動作時收到的 JSON 結果輸出內容:
[{
"case_id": "123",
"tags": ["Async"]
}, {
"case_id": "123",
"tags": ["Async"]
},]
輸出訊息
Async 動作可以傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action
"Async Action Example". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器連線、輸入參數或憑證。 |
指令碼結果
下表列出使用 Async 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
連接器
如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。
整合範例 - 簡單的連結器範例
使用「Sample Integration - Simple Connector Example」(整合範例 - 簡單的連接器範例) ,從 api.vatcomply.com 服務擷取匯率和其他資料。
如要使用動態清單,請使用 alert_type 參數。
連接器輸入內容
Google Threat Intelligence - DTM Alerts Connector 需要下列參數:
| 參數 | 說明 |
|---|---|
Product Field Name |
必填。 儲存產品名稱的欄位名稱。 產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。 預設值為 |
Event Field Name |
必要元素。 決定事件名稱 (子類型) 的欄位名稱。 預設值為 |
Environment Field Name |
選填。 儲存環境名稱的欄位名稱。 如果缺少環境欄位,連接器會使用預設值。 預設值為 |
Environment Regex Pattern |
選填。 要在 使用預設值 如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。 |
Script Timeout (Seconds) |
必填。 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 |
API Root |
必填。 整合執行個體的 API 根目錄。 在本範例中,我們使用 [VAT Comply](https://www.vatcomply.com/) 服務進行整合,API 根目錄為 `api.vatcomply.com`。 預設值為 |
Password Field |
選填。 API 密碼欄位範例。 這個參數僅供示範之用,API 驗證時不需要這個參數。 預設值為 |
Currencies To Fetch |
選填。 要擷取的貨幣匯率。 預設值為 |
Create Alert Per Exchange Rate |
選填。 如果啟用這項功能,連結器會為每個匯率建立個別快訊。 |
Alert Severity |
選填。 快訊的嚴重程度。 可能的值為:
預設值為 |
Add Attachment |
選填。 啟用後,連接器會在快訊中新增 JSON 物件。 預設值為 |
Max Days Backwards |
必填。 要擷取快訊的天數 (從今天回溯)。 最大值為 預設值為 |
Max Alerts To Fetch |
必填。 每個連接器疊代要處理的快訊數量。 預設值為 |
Use dynamic list as a blocklist |
必填。 如果選取這個選項,連接器會將動態清單當做封鎖清單。 預設為未選取。 |
Disable Overflow |
選填。 如果選取此選項,連接器會忽略 Google SecOps 溢位機制。 (此為預設選項)。 |
Verify SSL |
必填。 如果選取這個選項,動作會驗證 API 伺服器的 SSL 憑證。 (此為預設選項)。 |
Proxy Server Address |
選填。 要使用的 Proxy 伺服器位址。 |
Proxy Username |
選填。 用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選填。 用於驗證的 Proxy 密碼。 |
工作
這個整合範例可使用下列工作:
簡單的工作範例
使用「Simple Job Example」(簡單工作範例) 工作,自動管理案件。
這項工作有兩項主要職能:
如果案件有
Closed標記,請關閉案件。如果案件有
Currency標記,請新增註解。
工作輸入內容
如要設定這項工作,請使用下列參數:
| 參數 | |
|---|---|
API Root |
必填。 整合執行個體的 API 根目錄。 在本範例中,我們使用 [VAT Comply](https://www.vatcomply.com/) 服務進行整合,API 根目錄為 `api.vatcomply.com`。 預設值為 |
Password Field |
選填。 API 密碼欄位範例。 這個參數僅供示範之用,API 驗證時不需要這個參數。 預設值為 |
Verify SSL |
必填。 如果選取這個選項,動作會驗證 API 伺服器的 SSL 憑證。 (此為預設選項)。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。