Intégrer SiemplifyUtilities à Google SecOps
Version de l'intégration : 20.0
Ce document explique comment intégrer SiemplifyUtilities à Google Security Operations (Google SecOps).
Cas d'utilisation
L'intégration SiemplifyUtilities peut répondre aux cas d'utilisation suivants :
Exportation et partage : utilisez les fonctionnalités Google SecOps avec l'action Exporter les entités en tant que fichier OpenIOC pour générer rapidement des fichiers OpenIOC standardisés à partir d'entités de sécurité (telles que des adresses IP, des hachages de fichiers ou des URL) et les partager avec des plates-formes de renseignements sur les menaces ou d'autres équipes de sécurité.
Manipulation de listes pour la logique : utilisez les fonctionnalités Google SecOps avec l'action Opérations sur les listes pour effectuer des opérations logiques complexes (telles que intersection, union, soustraction) sur deux listes de valeurs différentes dans un playbook, ce qui permet de filtrer ou de combiner des sources de données de manière avancée.
Transformation et analyse des données : utilisez les fonctionnalités Google SecOps avec l'action Extraire les meilleurs résultats de JSON pour traiter et hiérarchiser les grands ensembles de données JSON imbriquées en les triant en fonction d'une clé imbriquée spécifique (comme un score de gravité) et en ne renvoyant que les meilleurs résultats pertinents pour une analyse immédiate.
Analyse forensique des e-mails : utilisez les fonctionnalités Google SecOps avec l'action Analyser un fichier EML au format JSON pour convertir les messages bruts encodés en base64 (fichiers EML ou MSG) au format JSON structuré. Les en-têtes, le corps, les pièces jointes et les liens de l'e-mail sont ainsi accessibles pour l'analyse et l'investigation automatisées.
Paramètres d'intégration
Aucune.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente dans Votre bureau et Effectuer une action manuelle.
Compter les entités dans le champ d'application
Utilisez Count Entities in Scope pour récupérer le nombre d'entités dans un champ d'application spécifique.
Cette action s'exécute sur toutes les entités Google SecOps.
Entrées d'action
L'action Count Entities in Scope (Compter les entités dans le champ d'application) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Entity Type |
Obligatoire. Type des entités cibles. |
Sorties d'action
L'action Count Entities in Scope (Compter les entités dans le champ d'application) fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Count Entities in Scope (Compter les entités dans le champ d'application) peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Count Entities in Scope". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Count Entities in Scope (Compter les entités dans le champ d'application) :
| Nom du résultat du script | Valeur |
|---|---|
list_count |
NUMBER_OF_ENTITIES |
Liste de nombres
Utilisez l'action Compter la liste pour récupérer le nombre d'éléments d'une liste.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Compter les éléments d'une liste nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Input String |
Facultatif. Liste de chaînes séparées par une virgule, par exemple |
Delimiter |
Facultatif. Symbole utilisé pour séparer les valeurs individuelles dans |
Sorties d'action
L'action Count List fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Count List (Compter la liste) peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Count List". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de sortie des résultats du script lorsque vous utilisez l'action Count List (Compter la liste) :
| Nom du résultat du script | Valeur |
|---|---|
list_count |
NUMBER_OF_ENTITIES |
Supprimer le fichier
Utilisez l'action Supprimer le fichier pour supprimer un fichier sélectionné du système de fichiers.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Supprimer un fichier nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
File Path |
Obligatoire. Chemin absolu du fichier à supprimer. |
Sorties d'action
L'action Supprimer le fichier fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Supprimer le fichier :
{
"filepath": ""
"status": "deleted/not found"
}
Messages de sortie
L'action Supprimer le fichier peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Delete File". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Supprimer le fichier :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Exporter des entités en tant que fichier OpenIOC
Utilisez l'action Exporter les entités au format OpenIOC pour regrouper les artefacts de sécurité compatibles du cas actuel dans un fichier au format OpenIOC standard. Ce fichier peut être utilisé pour le partage, le renseignement sur les menaces ou l'importation dans d'autres outils de sécurité.
Cette action s'exécute sur les entités Google SecOps suivantes :
FilehashIP AddressURLHostnameUser
Entrées d'action
L'action Exporter les entités en tant que fichier OpenIOC nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Export Folder Path | Obligatoire. Chemin d'accès local au dossier dans lequel le fichier OpenIOC généré sera enregistré. |
Sorties d'action
L'action Exporter les entités en tant que fichier OpenIOC fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Exporter les entités au format OpenIOC :
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
Messages de sortie
L'action Exporter les entités en tant que fichier OpenIOC peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Export Entities as OpenIOC File". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Extraire les éléments les plus importants de JSON
Utilisez l'action Extraire les meilleurs éléments du JSON pour trier un JSON d'entrée par une clé spécifique et renvoyer les branches ou les enregistrements les mieux classés.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Extraire les éléments les plus importants de JSON nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
JSON Data | Obligatoire. Données JSON à traiter. |
Key To Sort By | Obligatoire. Clé imbriquée utilisée pour le tri, avec des segments séparés par des points. Utilisez |
Field Type | Obligatoire. Type de données de la clé spécifiée pour le tri. Les valeurs possibles sont les suivantes :
|
Reverse (DESC -> ASC) | Facultatif. Si cette option est sélectionnée, l'ordre de tri est décroissant. Si cette option n'est pas sélectionnée, l'ordre de tri est croissant. Cette option est activée par défaut. |
Top Rows | Facultatif. Nombre d'enregistrements (lignes) à récupérer à partir de la sortie JSON triée. |
Sorties d'action
L'action Extraire les meilleurs résultats de JSON fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Extraire le top du JSON :
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
Messages de sortie
L'action Extraire le top à partir de JSON peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Extract top From JSON". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant liste la valeur du résultat du script lorsque vous utilisez l'action Extraire le top du JSON :
| Nom du résultat du script | Valeur |
|---|---|
result |
RESULTS |
Filtrer le JSON
Utilisez l'action Filtrer le JSON pour filtrer un objet JSON en fonction d'une condition spécifiée et extraire des résultats spécifiques.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Filtrer le JSON nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
JSON Data | Obligatoire. Données du dictionnaire JSON auxquelles appliquer le filtre. |
Root Key Path | Facultatif. Chemin de départ séparé par des points pour la recherche JSON. |
Condition Path | Obligatoire. Chemin d'accès au champ dont la valeur est évaluée par rapport à la condition |
Condition Operator | Obligatoire. Opérateur de comparaison à utiliser dans la condition. Les valeurs possibles sont les suivantes :
|
Condition Value | Obligatoire. Valeur spécifique à utiliser dans la condition |
Output Path | Facultatif. Chemin d'accès aux éléments de données spécifiques à renvoyer à partir du JSON filtré, séparés par des points. |
Delimiter | Facultatif. Caractère utilisé pour joindre les valeurs de sortie si plusieurs éléments sont renvoyés. La valeur par défaut est |
Sorties d'action
L'action Filtrer le JSON fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Filtrer JSON :
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
Messages de sortie
L'action Filtrer le JSON peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Filter JSON". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Filtrer le JSON :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Obtenir l'URL de déploiement
Utilisez l'action Obtenir l'URL de déploiement pour récupérer l'URL de déploiement de votre instance Google SecOps actuelle.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Aucune.
Sorties d'action
L'action Obtenir l'URL de déploiement fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Obtenir l'URL de déploiement :
{
"url": ""
}
Messages de sortie
L'action Obtenir l'URL de déploiement peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Deployment URL". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant indique la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir l'URL de déploiement :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Répertorier les opérations
Utilisez l'action List Operations (Opérations sur les listes) pour effectuer des opérations sur les ensembles entre deux listes fournies et séparées par des virgules.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action List Operations (Lister les opérations) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
First List | Obligatoire. Première liste de valeurs séparées par des virgules pour l'opération |
Second List | Obligatoire. Deuxième liste de valeurs séparées par des virgules pour l'opération |
Delimiter | Facultatif. Symbole ou caractère utilisé pour séparer les valeurs dans La valeur par défaut est |
Operator | Obligatoire. Type d'opération Les valeurs possibles sont les suivantes :
|
Sorties d'action
L'action Lister les opérations fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Lister les opérations :
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Lister les opérations :
| Nom du résultat du script | Valeur |
|---|---|
result_list |
RESULTS |
Analyser un fichier EML au format JSON
Utilisez l'action Analyser un fichier EML pour le convertir en JSON pour convertir le contenu d'un fichier EML ou MSG en objet JSON structuré dans Google SecOps.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Analyser un fichier EML et le convertir au format JSON nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
EML Content | Obligatoire. Contenu encodé en base64 du fichier EML ou MSG. |
Blacklisted Headers | Facultatif. Liste d'en-têtes à exclure de la sortie JSON finale, séparés par une virgule. |
Use Blacklist As Whitelist | Facultatif. Si cette option est sélectionnée, la liste fournie dans |
Sorties d'action
L'action Analyser un fichier EML au format JSON fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Analyser un fichier EML en JSON :
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
Résultat du script
Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Analyser un fichier EML au format JSON :
| Nom du résultat du script | Valeur |
|---|---|
parsed_eml |
RESULTS |
La sortie JSON de l'action pour le champ with est restructurée afin de séparer la valeur de l'ID dans un champ dédié. Cette modification s'applique à la version 10 et aux versions ultérieures de l'intégration, comme décrit dans le tableau suivant :
| Version d'intégration | Structure et description des champs | Exemple de code JSON |
|---|---|---|
| Version 9 et versions antérieures | L'ID et le protocole sont combinés dans le champ with. | {"with": "smtp id ID"} |
| Version 10 et ultérieures | L'ID est stocké dans le nouveau champ id, et le champ with ne contient que le protocole. | {"id": "ID", "with": "SMTP"} |
Ping
Utilisez l'action Ping pour tester la connectivité à SiemplifyUtilities.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Aucune.
Sorties d'action
L'action Ping fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Ping fournit les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
Connection Established. |
L'action a réussi. |
Failed to connect to SiemplifyUtilities. Error is
ERROR_REASON
|
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant décrit les valeurs de la sortie des résultats du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Combinateur de requêtes
Utilisez l'action Joindre des requêtes pour construire dynamiquement une chaîne de requête structurée en combinant une liste de valeurs de recherche, un champ cible et un opérateur logique.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Joindre les requêtes nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Values | Obligatoire. Liste de valeurs à rechercher, séparées par une virgule, par exemple |
Query Field | Obligatoire. Nom du champ cible dans lequel effectuer la recherche, par exemple |
Query Operator | Obligatoire. Opérateur logique utilisé pour combiner les valeurs, tel que |
Add Quotes | Facultatif. Si cette option est sélectionnée, des guillemets simples ( Cette option n'est pas activée par défaut. |
Add Double Quotes | Facultatif. Si cette option est sélectionnée, des guillemets doubles ( Cette option n'est pas activée par défaut. |
Sorties d'action
L'action Joindre les requêtes fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Joindre des requêtes peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Query Joiner". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Joindre les requêtes :
| Nom du résultat du script | Valeur |
|---|---|
query |
QUERY_FIELD=
VALUE_1
OPERATOR
QUERY_FIELD=
VALUE_2
OPERATOR
QUERY_FIELD=
VALUE_3 |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.