SiemplifyUtilities in Google SecOps einbinden
Integrationsversion: 20.0
In diesem Dokument wird beschrieben, wie Sie SiemplifyUtilities in Google Security Operations (Google SecOps) einbinden.
Anwendungsfälle
Die Integration SiemplifyUtilities kann für die folgenden Anwendungsfälle verwendet werden:
Exportieren und Freigeben: Mit der Aktion Export Entities as OpenIOC File (Entitäten als OpenIOC-Datei exportieren) können Sie Google SecOps-Funktionen nutzen, um schnell standardisierte OpenIOC-Dateien aus Sicherheitsentitäten (z. B. IPs, Dateihashes oder URLs) zu generieren und sie für Threat Intelligence-Plattformen oder andere Sicherheitsteams freizugeben.
Listenbearbeitung für Logik: Mit der Aktion List Operations (Listenvorgänge) können Sie die Google SecOps-Funktionen nutzen, um komplexe logische Vorgänge (z. B. intersection (Schnittmenge), union (Vereinigung), subtract (Subtrahieren)) für zwei verschiedene Listen von Werten in einem Playbook auszuführen. So können Sie Datenquellen filtern oder kombinieren.
Datentransformation und -analyse: Mit den Google SecOps-Funktionen und der Aktion Extract top From JSON (Die wichtigsten Ergebnisse aus JSON extrahieren) können Sie große, verschachtelte JSON-Datasets verarbeiten und priorisieren. Dazu werden sie anhand eines bestimmten verschachtelten Schlüssels (z. B. eines Schweregrads) sortiert und nur die wichtigsten relevanten Ergebnisse für die sofortige Analyse zurückgegeben.
E-Mail-Forensik: Mit der Aktion EML in JSON parsen können Sie die Google SecOps-Funktionen nutzen, um base64-codierte E-Mail-Rohdaten (EML- oder MSG-Dateien) in ein strukturiertes JSON-Format zu konvertieren. So können die Kopfzeilen, der Text, die Anhänge und die Links der E-Mail automatisch geparst und untersucht werden.
Integrationsparameter
Keine.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.
Entitäten im Geltungsbereich zählen
Mit Count Entities in Scope (Anzahl der Entitäten im Bereich zählen) können Sie die Anzahl der Entitäten in einem bestimmten Bereich abrufen.
Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Count Entities in Scope sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Entity Type |
Erforderlich. Der Typ der Zielentitäten. |
Aktionsausgaben
Die Aktion Count Entities in Scope (Entitäten im Bereich zählen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabenachrichten
Die Aktion Count Entities in Scope kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Count Entities in Scope". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Count Entities in Scope (Anzahl der Einheiten im Bereich) beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
list_count |
NUMBER_OF_ENTITIES |
Zählliste
Mit der Aktion Liste zählen können Sie die Anzahl der Elemente in einer Liste abrufen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Liste zählen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Input String |
Optional. Eine durch Kommas getrennte Liste von Strings, z. B. |
Delimiter |
Optional. Das Symbol, das zum Trennen der einzelnen Werte innerhalb der |
Aktionsausgaben
Die Aktion Count List (Liste zählen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabenachrichten
Die Aktion Count List kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Count List". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Liste zählen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
list_count |
NUMBER_OF_ENTITIES |
Datei löschen
Mit der Aktion Datei löschen können Sie eine ausgewählte Datei aus dem Dateisystem löschen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Datei löschen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
File Path |
Erforderlich. Der absolute Pfad der zu löschenden Datei. |
Aktionsausgaben
Die Aktion Datei löschen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgaben, die beim Verwenden der Aktion Datei löschen empfangen werden:
{
"filepath": ""
"status": "deleted/not found"
}
Ausgabenachrichten
Die Aktion Datei löschen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Delete File". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Datei löschen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Entitäten als OpenIOC-Datei exportieren
Mit der Aktion Export Entities as OpenIOC File (Entitäten als OpenIOC-Datei exportieren) können Sie unterstützte Sicherheitsartefakte aus dem aktuellen Fall in einem standardmäßigen OpenIOC-Dateiformat verpacken. Diese Datei kann zum Teilen, für Threat Intelligence oder zum Importieren in andere Sicherheitstools verwendet werden.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
FilehashIP AddressURLHostnameUser
Aktionseingaben
Für die Aktion Export Entities as OpenIOC File (Entitäten als OpenIOC-Datei exportieren) sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Export Folder Path | Erforderlich. Der lokale Pfad des Ordners, in dem die generierte OpenIOC-Datei gespeichert wird. |
Aktionsausgaben
Die Aktion Export Entities as OpenIOC File (Entitäten als OpenIOC-Datei exportieren) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgaben, die beim Verwenden der Aktion Export Entities as OpenIOC File (Entitäten als OpenIOC-Datei exportieren) empfangen werden:
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
Ausgabenachrichten
Die Aktion Export Entities as OpenIOC File (Entitäten als OpenIOC-Datei exportieren) kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Export Entities as OpenIOC File". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
„Top“ aus JSON extrahieren
Mit der Aktion Top-Elemente aus JSON extrahieren können Sie eine JSON-Eingabe nach einem bestimmten Schlüssel sortieren und die am besten bewerteten Zweige oder Datensätze zurückgeben.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Top aus JSON extrahieren sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
JSON Data | Erforderlich. Die zu verarbeitenden JSON-Daten. |
Key To Sort By | Erforderlich. Der verschachtelte Schlüssel, der zum Sortieren verwendet wird. Die Segmente sind durch Punkte getrennt. Verwenden Sie |
Field Type | Erforderlich. Der Datentyp des für die Sortierung angegebenen Schlüssels. Folgende Werte sind möglich:
|
Reverse (DESC -> ASC) | Optional. Wenn diese Option ausgewählt ist, ist die Sortierreihenfolge Absteigend. Wenn diese Option nicht ausgewählt ist, ist die Sortierreihenfolge Aufsteigend. Standardmäßig aktiviert. |
Top Rows | Optional. Die Anzahl der obersten Datensätze (Zeilen), die aus der sortierten JSON-Ausgabe abgerufen werden sollen. |
Aktionsausgaben
Die Aktion Extract top From JSON (Top aus JSON extrahieren) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Extract top From JSON (Die obersten Elemente aus JSON extrahieren) empfangen werden:
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
Ausgabenachrichten
Die Aktion Extract top From JSON kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Extract top From JSON". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Extract top From JSON verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
result |
RESULTS |
JSON filtern
Mit der Aktion JSON filtern können Sie ein JSON-Objekt anhand einer angegebenen Bedingung filtern und bestimmte Ergebnisse extrahieren.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion JSON filtern sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
JSON Data | Erforderlich. Die JSON-Wörterbuchdaten, auf die der Filter angewendet werden soll. |
Root Key Path | Optional. Der durch Punkte getrennte Startpfad für die JSON-Suche. |
Condition Path | Erforderlich. Der durch Punkte getrennte Pfad zum Feld, dessen Wert anhand der Bedingung |
Condition Operator | Erforderlich. Der Vergleichsoperator, der in der Bedingung verwendet werden soll. Folgende Werte sind möglich:
|
Condition Value | Erforderlich. Der spezifische Wert, der in der Bedingung |
Output Path | Optional. Der durch Punkte getrennte Pfad zu den spezifischen Datenelementen, die aus dem gefilterten JSON zurückgegeben werden sollen. |
Delimiter | Optional. Das Zeichen, das zum Verknüpfen der Ausgabewerte verwendet wird, wenn mehrere Elemente zurückgegeben werden. Der Standardwert ist |
Aktionsausgaben
Die Aktion JSON filtern bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion JSON filtern empfangen wird:
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
Ausgabenachrichten
Die Aktion JSON filtern kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Filter JSON". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion JSON filtern verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Bereitstellungs-URL abrufen
Verwenden Sie die Aktion Bereitstellungs-URL abrufen, um die Bereitstellungs-URL für Ihre aktuelle Google SecOps-Instanz abzurufen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Bereitstellungs-URL abrufen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Bereitstellungs-URL abrufen empfangen werden:
{
"url": ""
}
Ausgabenachrichten
Die Aktion Deployment-URL abrufen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Get Deployment URL". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Bereitstellungs-URL abrufen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Vorgänge auflisten
Mit der Aktion List Operations (Listenvorgänge) können Sie Mengenoperationen zwischen zwei durch Kommas getrennten Listen ausführen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Vorgänge auflisten sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
First List | Erforderlich. Die erste Liste mit durch Kommas getrennten Werten für den Vorgang |
Second List | Erforderlich. Die zweite Liste mit durch Kommas getrennten Werten für den Vorgang |
Delimiter | Optional. Das Symbol oder Zeichen, das zum Trennen von Werten in Der Standardwert ist |
Operator | Erforderlich. Der Typ des auszuführenden Folgende Werte sind möglich:
|
Aktionsausgaben
Die Aktion List Operations (Vorgänge auflisten) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgaben, die bei Verwendung der Aktion List Operations (Vorgänge auflisten) empfangen werden:
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion List Operations verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
result_list |
RESULTS |
EML in JSON parsen
Mit der Aktion EML in JSON parsen können Sie den Inhalt einer E‑Mail-Datei im EML- oder MSG-Format in ein strukturiertes JSON-Objekt in Google SecOps konvertieren.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion EML in JSON parsen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
EML Content | Erforderlich. Der base64-codierte Inhalt der EML- oder MSG-Datei. |
Blacklisted Headers | Optional. Eine durch Kommas getrennte Liste der Header, die aus der endgültigen JSON-Ausgabe ausgeschlossen werden sollen. |
Use Blacklist As Whitelist | Optional. Wenn diese Option ausgewählt ist, dient die in |
Aktionsausgaben
Die Aktion EML in JSON parsen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgaben, die bei Verwendung der Aktion EML in JSON parsen empfangen werden:
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Parse EML To JSON verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
parsed_eml |
RESULTS |
Die JSON-Ausgabe der Aktion für das Feld with wird umstrukturiert, um den ID-Wert in einem separaten Feld zu speichern. Diese Änderung gilt für Version 10 und höher der Integration, wie in der folgenden Tabelle beschrieben:
| Integrationsversion | Feldstruktur und -beschreibung | Beispiel für JSON-Code |
|---|---|---|
| Version 9 und früher | Die ID und das Protokoll werden im Feld with kombiniert. | {"with": "smtp id ID"} |
| Version 10 und höher | Die ID wird im neuen Feld id gespeichert und das Feld with enthält nur das Protokoll. | {"id": "ID", "with": "SMTP"} |
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu SiemplifyUtilities zu testen.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabenachrichten
Die Aktion Ping gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Connection Established. |
Die Aktion wurde erfolgreich ausgeführt. |
Failed to connect to SiemplifyUtilities. Error is
ERROR_REASON
|
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Query Joiner
Mit der Aktion Query Joiner (Abfrage zusammenführen) können Sie dynamisch einen strukturierten Abfragestring erstellen, indem Sie eine Liste von Suchwerten, ein Zielfeld und einen logischen Operator kombinieren.
Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Query Joiner sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Values | Erforderlich. Eine durch Kommas getrennte Liste von Werten, nach denen gesucht werden soll, z. B. |
Query Field | Erforderlich. Der Name des Zielfelds, in dem gesucht werden soll, z. B. |
Query Operator | Erforderlich. Der logische Operator, der zum Kombinieren der Werte verwendet wird, z. B. |
Add Quotes | Optional. Wenn diese Option ausgewählt ist, werden einfache Anführungszeichen ( Standardmäßig nicht aktiviert. |
Add Double Quotes | Optional. Wenn diese Option ausgewählt ist, werden doppelte Anführungszeichen ( Standardmäßig nicht aktiviert. |
Aktionsausgaben
Die Aktion Abfrage zusammenführen liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabenachrichten
Die Aktion Query Joiner kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Query Joiner". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Query Joiner aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
query |
QUERY_FIELD=
VALUE_1
OPERATOR
QUERY_FIELD=
VALUE_2
OPERATOR
QUERY_FIELD=
VALUE_3 |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten