Integra SiemplifyUtilities con Google SecOps
Versión de integración: 20.0
En este documento, se explica cómo integrar SiemplifyUtilities con Google Security Operations (Google SecOps).
Casos de uso
La integración de SiemplifyUtilities puede abordar los siguientes casos de uso:
Exportación y uso compartido: Usa las capacidades de Google SecOps con la acción Export Entities as OpenIOC File para generar rápidamente archivos OpenIOC estandarizados a partir de entidades de seguridad (como IPs, hashes de archivos o URLs) y compartirlos con plataformas de inteligencia sobre amenazas o con otros equipos de seguridad.
Manipulación de listas para la lógica: Usa las capacidades de SecOps de Google con la acción List Operations para realizar operaciones lógicas complejas (como intersección, unión, resta) en dos listas diferentes de valores dentro de un Playbook, lo que proporciona un filtrado avanzado o una combinación de fuentes de datos.
Transformación y análisis de datos: Usa las capacidades de SecOps de Google con la acción Extract top From JSON para procesar y priorizar grandes conjuntos de datos JSON anidados. Para ello, ordénalos según una clave anidada específica (como una puntuación de gravedad) y muestra solo los resultados más relevantes para el análisis inmediato.
Análisis forense de correos electrónicos: Usa las capacidades de SecOps de Google con la acción Analizar EML en JSON para convertir mensajes de correo electrónico sin procesar codificados en Base64 (archivos EML o MSG) en un formato JSON estructurado, lo que permite que los encabezados, el cuerpo, los archivos adjuntos y los vínculos del correo electrónico sean accesibles para el análisis y la investigación automatizados.
Parámetros de integración
Ninguno
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes de Tu escritorio y Cómo realizar una acción manual.
Recuento de entidades incluidas
Usa Count Entities in Scope para recuperar la cantidad de entidades en un alcance específico.
Esta acción se ejecuta en todas las entidades de SecOps de Google.
Entradas de acción
La acción Count Entities in Scope requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Entity Type |
Obligatorio. Es el tipo de entidades objetivo. |
Resultados de la acción
La acción Count Entities in Scope proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Count Entities in Scope puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Count Entities in Scope". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Count Entities in Scope:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
list_count |
NUMBER_OF_ENTITIES |
Lista de recuento
Usa la acción Count List para recuperar la cantidad de elementos de una lista.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Count List requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Input String |
Es opcional. Es una lista de cadenas separadas por comas, como |
Delimiter |
Es opcional. Símbolo que se usa para separar valores individuales dentro de |
Resultados de la acción
La acción Count List proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Count List puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Count List". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Count List:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
list_count |
NUMBER_OF_ENTITIES |
Borrar archivo
Usa la acción Borrar archivo para borrar un archivo seleccionado del sistema de archivos.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Borrar archivo requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
File Path |
Obligatorio. Es la ruta de acceso absoluta del archivo que se borrará. |
Resultados de la acción
La acción Delete File proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestran los resultados JSON que se reciben cuando se usa la acción Delete File:
{
"filepath": ""
"status": "deleted/not found"
}
Mensajes de salida
La acción Delete File puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Delete File". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado del script cuando se usa la acción Delete File:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Exportar entidades como archivo OpenIOC
Usa la acción Export Entities as OpenIOC File para empaquetar los artefactos de seguridad admitidos del caso actual en un formato de archivo OpenIOC estándar. Este archivo se puede usar para compartir, obtener información sobre amenazas o importar a otras herramientas de seguridad.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
FilehashIP AddressURLHostnameUser
Entradas de acción
La acción Export Entities as OpenIOC File requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Export Folder Path | Obligatorio. Ruta de acceso local de la carpeta en la que se guardará el archivo OpenIOC generado. |
Resultados de la acción
La acción Export Entities as OpenIOC File proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestran los resultados JSON que se reciben cuando se usa la acción Export Entities as OpenIOC File:
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
Mensajes de salida
La acción Export Entities as OpenIOC File puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Export Entities as OpenIOC File". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Extrae la parte superior de JSON
Usa la acción Extract top From JSON para ordenar un JSON de entrada por una clave específica y devolver las ramas o los registros mejor clasificados.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Extract top From JSON requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
JSON Data | Obligatorio. Son los datos JSON que se procesarán. |
Key To Sort By | Obligatorio. Es la clave anidada que se usa para ordenar, con segmentos separados por puntos. Usa |
Field Type | Obligatorio. Es el tipo de datos de la clave especificada para la ordenación. Los valores posibles son los siguientes:
|
Reverse (DESC -> ASC) | Es opcional. Si se selecciona, el orden de clasificación es Descendente. Si no se selecciona, el orden de clasificación es Ascendente. Está habilitada de forma predeterminada. |
Top Rows | Es opcional. Es la cantidad de registros (filas) principales que se recuperarán del resultado JSON ordenado. |
Resultados de la acción
La acción Extract top From JSON proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestran los resultados JSON que se reciben cuando se usa la acción Extract top From JSON:
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
Mensajes de salida
La acción Extract top From JSON puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Extract top From JSON". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Extract top From JSON:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
result |
RESULTS |
Filtro JSON
Usa la acción Filter JSON para filtrar un objeto JSON según una condición especificada y extraer resultados específicos.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Filter JSON requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
JSON Data | Obligatorio. Son los datos del diccionario JSON al que se aplicará el filtro. |
Root Key Path | Es opcional. Es la ruta de acceso inicial separada por puntos para la búsqueda de JSON. |
Condition Path | Obligatorio. Es la ruta de acceso separada por puntos al campo cuyo valor se evalúa en función de la condición |
Condition Operator | Obligatorio. Operador de comparación que se usará en la condición. Los valores posibles son los siguientes:
|
Condition Value | Obligatorio. Es el valor específico que se usará en la condición |
Output Path | Es opcional. Es la ruta separada por puntos a los elementos de datos específicos que se devolverán del JSON filtrado. |
Delimiter | Es opcional. Es el carácter que se usa para unir los valores de salida si se devuelven varios elementos. El valor predeterminado es |
Resultados de la acción
La acción Filter JSON proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Filter JSON:
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
Mensajes de salida
La acción Filter JSON puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Filter JSON". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Filter JSON:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Obtén la URL de implementación
Usa la acción Get Deployment URL para recuperar la URL de implementación de tu instancia actual de Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Ninguno
Resultados de la acción
La acción Get Deployment URL proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestran los resultados JSON que se reciben cuando se usa la acción Get Deployment URL:
{
"url": ""
}
Mensajes de salida
La acción Get Deployment URL puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Deployment URL". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Get Deployment URL:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Enumerar operaciones
Usa la acción List Operations para realizar operaciones de conjuntos entre dos listas separadas por comas proporcionadas.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción List Operations requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
First List | Obligatorio. Es la primera lista de valores separados por comas para la operación |
Second List | Obligatorio. Segunda lista de valores separados por comas para la operación |
Delimiter | Es opcional. Símbolo o carácter que se usa para separar los valores en El valor predeterminado es |
Operator | Obligatorio. Es el tipo de operación de Los valores posibles son los siguientes:
|
Resultados de la acción
La acción List Operations proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestran los resultados JSON que se reciben cuando se usa la acción List Operations:
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción List Operations:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
result_list |
RESULTS |
Analiza EML en JSON
Usa la acción Parse EML to JSON para convertir el contenido de un archivo de correo electrónico EML o MSG en un objeto JSON estructurado dentro de Google SecOps.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Parse EML to JSON requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
EML Content | Obligatorio. Es el contenido codificado en base64 del archivo EML o MSG. |
Blacklisted Headers | Es opcional. Es una lista de encabezados separados por comas que se deben excluir del resultado JSON final. |
Use Blacklist As Whitelist | Es opcional. Si se selecciona, la lista proporcionada en |
Resultados de la acción
La acción Parse EML to JSON proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestran los resultados JSON que se reciben cuando se usa la acción Parse EML to JSON:
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado del script cuando se usa la acción Parse EML To JSON:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
parsed_eml |
RESULTS |
El resultado JSON de la acción para el campo with se reestructura para separar el valor del ID en un campo dedicado. Este cambio se aplica a la versión 10 y posteriores de la integración, como se describe en la siguiente tabla:
| Versión de la integración | Estructura y descripción del campo | JSON de ejemplo |
|---|---|---|
| Versión 9 y anteriores | El ID y el protocolo se combinan en el campo with. | {"with": "smtp id ID"} |
| Versión 10 y posteriores | El ID se almacena en el nuevo campo id, y el campo with solo contiene el protocolo. | {"id": "ID", "with": "SMTP"} |
Ping
Usa la acción Ping para probar la conectividad a SiemplifyUtilities.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping proporciona los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
Connection Established. |
La acción se completó correctamente. |
Failed to connect to SiemplifyUtilities. Error is
ERROR_REASON
|
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se describen los valores del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Unión de consultas
Usa la acción Query Joiner para construir de forma dinámica una cadena de consulta estructurada combinando una lista de valores de búsqueda, un campo de destino y un operador lógico.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Query Joiner requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Values | Obligatorio. Es una lista de valores separados por comas que se deben buscar, como |
Query Field | Obligatorio. Nombre del campo de destino en el que se realizará la búsqueda, como |
Query Operator | Obligatorio. Es el operador lógico que se usa para combinar los valores, como |
Add Quotes | Es opcional. Si se selecciona, se agregan comillas simples ( No está habilitado de forma predeterminada. |
Add Double Quotes | Es opcional. Si se selecciona, se agregan comillas dobles ( No está habilitado de forma predeterminada. |
Resultados de la acción
La acción Query Joiner proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Query Joiner puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Query Joiner". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Query Joiner:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
query |
QUERY_FIELD=
VALUE_1
OPERATOR
QUERY_FIELD=
VALUE_2
OPERATOR
QUERY_FIELD=
VALUE_3 |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.