Integrar SiemplifyUtilities con Google SecOps
Versión de integración: 20.0
En este documento se explica cómo integrar SiemplifyUtilities con Google Security Operations (Google SecOps).
Casos prácticos
La integración de SiemplifyUtilities puede abordar los siguientes casos prácticos:
Exportar y compartir: usa las funciones de Google SecOps con la acción Exportar entidades como archivo OpenIOC para generar rápidamente archivos OpenIOC estandarizados a partir de entidades de seguridad (como IPs, hashes de archivos o URLs) y compartirlos con plataformas de inteligencia sobre amenazas u otros equipos de seguridad.
Manipulación de listas para la lógica: usa las funciones de Google SecOps con la acción Operaciones de lista para realizar operaciones lógicas complejas (como intersección, unión y resta) en dos listas diferentes de valores de un Playbook, lo que permite filtrar o combinar fuentes de datos de forma avanzada.
Transformación y análisis de datos: usa las funciones de Google SecOps con la acción Extraer los elementos principales de JSON para procesar y priorizar conjuntos de datos JSON grandes y anidados. Para ello, ordénalos en función de una clave anidada específica (como una puntuación de gravedad) y devuelve solo los resultados más relevantes para analizarlos de inmediato.
Informática forense de correo electrónico: usa las funciones de SecOps de Google con la acción Analizar EML en JSON para convertir mensajes de correo sin formato codificados en base64 (archivos EML o MSG) en un formato JSON estructurado, lo que permite acceder a los encabezados, el cuerpo, los archivos adjuntos y los enlaces del correo para analizarlos e investigarlos automáticamente.
Parámetros de integración
Ninguno
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Contar entidades en el ámbito
Usa Contar entidades en el ámbito para obtener el número de entidades de un ámbito específico.
Esta acción se ejecuta en todas las entidades de Google SecOps.
Entradas de acciones
La acción Contar entidades en el ámbito requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Entity Type |
Obligatorio. El tipo de las entidades de destino. |
Resultados de la acción
La acción Contar entidades en el ámbito proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Contar entidades en el ámbito puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Count Entities in Scope". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Contar entidades en el ámbito:
| Nombre del resultado del script | Valor |
|---|---|
list_count |
NUMBER_OF_ENTITIES |
Lista de recuento
Usa la acción Contar lista para obtener el número de elementos de una lista.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Lista de recuento requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Input String |
Opcional. Lista de cadenas separadas por comas, como
|
Delimiter |
Opcional. Símbolo que se usa para separar los valores individuales dentro de |
Resultados de la acción
La acción Contar lista proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Contar lista puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Count List". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores del resultado de la secuencia de comandos al usar la acción Contar lista:
| Nombre del resultado del script | Valor |
|---|---|
list_count |
NUMBER_OF_ENTITIES |
Eliminar archivo
Usa la acción Eliminar archivo para eliminar un archivo seleccionado del sistema de archivos.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Eliminar archivo requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
File Path |
Obligatorio. Ruta absoluta del archivo que se va a eliminar. |
Resultados de la acción
La acción Eliminar archivo proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestran los resultados JSON recibidos al usar la acción Eliminar archivo:
{
"filepath": ""
"status": "deleted/not found"
}
Mensajes de salida
La acción Eliminar archivo puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Delete File". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Eliminar archivo:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Exportar entidades como archivo OpenIOC
Usa la acción Export Entities as OpenIOC File (Exportar entidades como archivo OpenIOC) para empaquetar los artefactos de seguridad admitidos del caso actual en un formato de archivo OpenIOC estándar. Este archivo se puede usar para compartir información, para obtener información sobre amenazas o para importarlo a otras herramientas de seguridad.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
FilehashIP AddressURLHostnameUser
Entradas de acciones
La acción Export Entities as OpenIOC File (Exportar entidades como archivo OpenIOC) requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Export Folder Path | Obligatorio. Ruta local de la carpeta en la que se guardará el archivo OpenIOC generado. |
Resultados de la acción
La acción Exportar entidades como archivo OpenIOC proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestran las salidas de resultados JSON recibidas al usar la acción Export Entities as OpenIOC File (Exportar entidades como archivo OpenIOC):
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
Mensajes de salida
La acción Exportar entidades como archivo OpenIOC puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Export Entities as OpenIOC File". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Extraer los elementos principales de JSON
Usa la acción Extraer los primeros de JSON para ordenar un JSON de entrada por una clave específica y devolver las ramas o los registros mejor clasificados.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Extraer los primeros de JSON requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
JSON Data | Obligatorio. Los datos JSON que se van a procesar. |
Key To Sort By | Obligatorio. Clave anidada que se usa para ordenar, con los segmentos separados por puntos. Usa |
Field Type | Obligatorio. El tipo de datos de la clave especificada para la ordenación. Estos son los valores posibles:
|
Reverse (DESC -> ASC) | Opcional. Si se selecciona, el orden es Descendente. Si no se selecciona, el orden será Ascendente. Esta opción está habilitada de forma predeterminada. |
Top Rows | Opcional. Número de registros principales (filas) que se deben obtener de la salida JSON ordenada. |
Resultados de la acción
La acción Extraer los primeros de JSON proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestran los resultados JSON que se obtienen al usar la acción Extraer los primeros de JSON:
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
Mensajes de salida
La acción Extraer los elementos principales de JSON puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Extract top From JSON". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Extraer los elementos principales de JSON:
| Nombre del resultado del script | Valor |
|---|---|
result |
RESULTS |
Filtrar JSON
Usa la acción Filtrar JSON para filtrar un objeto JSON en función de una condición especificada y extraer resultados concretos.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Filtrar JSON requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
JSON Data | Obligatorio. Los datos del diccionario JSON al que se va a aplicar el filtro. |
Root Key Path | Opcional. Ruta de inicio separada por puntos para la búsqueda de JSON. |
Condition Path | Obligatorio. Ruta separada por puntos al campo cuyo valor se evalúa en función de la condición |
Condition Operator | Obligatorio. El operador de comparación que se va a usar en la condición. Estos son los valores posibles:
|
Condition Value | Obligatorio. El valor específico que se debe usar en la condición |
Output Path | Opcional. Ruta separada por puntos a los elementos de datos específicos que se devolverán del JSON filtrado. |
Delimiter | Opcional. Carácter usado para unir los valores de salida si se devuelven varios elementos. El valor predeterminado es |
Resultados de la acción
La acción Filtrar JSON proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado en JSON que se recibe al usar la acción Filtrar JSON:
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
Mensajes de salida
La acción Filtrar JSON puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Filter JSON". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Filtrar JSON:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Obtener URL de implementación
Usa la acción Obtener URL de implementación para recuperar la URL de implementación de tu instancia actual de Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Obtener URL de implementación proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestran los resultados JSON que se obtienen al usar la acción Obtener URL de implementación:
{
"url": ""
}
Mensajes de salida
La acción Obtener URL de implementación puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Deployment URL". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener URL de implementación:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Mostrar operaciones
Usa la acción Operaciones de lista para realizar operaciones de conjuntos entre dos listas separadas por comas.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción List Operations requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
First List | Obligatorio. La primera lista de valores separados por comas de la operación |
Second List | Obligatorio. La segunda lista de valores separados por comas de la operación |
Delimiter | Opcional. El símbolo o carácter que se usa para separar los valores en El valor predeterminado es |
Operator | Obligatorio. Tipo de operación Estos son los valores posibles:
|
Resultados de la acción
La acción List Operations (Listar operaciones) proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestran las salidas de resultados JSON recibidas al usar la acción List Operations (Listar operaciones):
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción List Operations (Listar operaciones):
| Nombre del resultado del script | Valor |
|---|---|
result_list |
RESULTS |
Analizar EML a JSON
Usa la acción Analizar EML a JSON para convertir el contenido de un archivo de correo EML o MSG en un objeto JSON estructurado en Google SecOps.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Analizar EML a JSON requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
EML Content | Obligatorio. El contenido codificado en Base64 del archivo EML o MSG. |
Blacklisted Headers | Opcional. Lista de encabezados separados por comas que se excluirán de la salida JSON final. |
Use Blacklist As Whitelist | Opcional. Si se selecciona esta opción, la lista proporcionada en |
Resultados de la acción
La acción Analizar EML a JSON proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestran las salidas de resultados JSON recibidas al usar la acción Analizar EML en JSON:
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Analizar EML a JSON:
| Nombre del resultado del script | Valor |
|---|---|
parsed_eml |
RESULTS |
La salida JSON de la acción para el campo with se reestructura para separar el valor del ID en un campo específico. Este cambio se aplica a la versión 10 y posteriores de la integración, tal como se describe en la siguiente tabla:
| Versión de integración | Estructura y descripción de los campos | Ejemplo de código JSON |
|---|---|---|
| Versión 9 y anteriores | El ID y el protocolo se combinan en el campo with. | {"with": "smtp id ID"} |
| Versión 10 y posteriores | El ID se almacena en el nuevo campo id y el campo with solo contiene el protocolo. | {"id": "ID", "with": "SMTP"} |
Ping
Usa la acción Ping para probar la conectividad con SiemplifyUtilities.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping proporciona los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
Connection Established. |
La acción se ha realizado correctamente. |
Failed to connect to SiemplifyUtilities. Error is
ERROR_REASON
|
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se describen los valores de la salida del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Query Joiner
Usa la acción Combinador de consultas para crear dinámicamente una cadena de consulta estructurada combinando una lista de valores de búsqueda, un campo de destino y un operador lógico.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Combinador de consultas requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Values | Obligatorio. Lista de valores separados por comas que se van a buscar, como
|
Query Field | Obligatorio. El nombre del campo de destino en el que se va a buscar, como |
Query Operator | Obligatorio. El operador lógico que se usa para combinar los valores, como |
Add Quotes | Opcional. Si se selecciona esta opción, se añadirán comillas simples ( No está habilitada de forma predeterminada. |
Add Double Quotes | Opcional. Si se selecciona esta opción, se añadirán comillas dobles ( No está habilitada de forma predeterminada. |
Resultados de la acción
La acción Combinador de consultas proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Combinador de consultas puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Query Joiner". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Combinador de consultas:
| Nombre del resultado del script | Valor |
|---|---|
query |
QUERY_FIELD=
VALUE_1
OPERATOR
QUERY_FIELD=
VALUE_2
OPERATOR
QUERY_FIELD=
VALUE_3 |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.