Mengintegrasikan SiemplifyUtilities dengan Google SecOps
Versi integrasi: 20.0
Dokumen ini menjelaskan cara mengintegrasikan SiemplifyUtilities dengan Google Security Operations (Google SecOps).
Kasus penggunaan
Integrasi SiemplifyUtilities dapat menangani kasus penggunaan berikut:
Mengekspor dan berbagi: Gunakan kemampuan Google SecOps dengan tindakan Ekspor Entitas sebagai File OpenIOC untuk membuat file OpenIOC standar dengan cepat dari entitas keamanan (seperti IP, Filehash, atau URL) dan membagikannya ke platform intelijen ancaman atau tim keamanan lainnya.
Manipulasi daftar untuk logika: Gunakan kemampuan Google SecOps dengan tindakan Operasi Daftar untuk melakukan operasi logika yang kompleks (seperti persimpangan, gabungan, pengurangan) pada dua daftar nilai yang berbeda dalam Playbook, yang menyediakan pemfilteran lanjutan atau penggabungan sumber data.
Transformasi dan Analisis Data: Gunakan kemampuan Google SecOps dengan tindakan Ekstrak teratas Dari JSON untuk memproses dan memprioritaskan set data JSON bertingkat yang besar dengan mengurutkannya berdasarkan kunci bertingkat tertentu (seperti skor tingkat keparahan) dan hanya menampilkan hasil teratas yang relevan untuk analisis langsung.
Analisis Forensik Email: Gunakan kemampuan Google SecOps dengan tindakan Parse EML to JSON untuk mengonversi pesan email mentah berenkode base64 (file EML atau MSG) menjadi format JSON terstruktur, sehingga header, isi, lampiran, dan link email dapat diakses untuk analisis dan penyelidikan otomatis.
Parameter integrasi
Tidak ada.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.
Menghitung Entity dalam Cakupan
Gunakan Count Entities in Scope untuk mengambil jumlah entity dalam cakupan tertentu.
Tindakan ini dijalankan di semua entity Google SecOps.
Input tindakan
Tindakan Hitung Entitas dalam Cakupan memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Entity Type |
Wajib. Jenis entitas target. |
Output tindakan
Tindakan Count Entities in Scope memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Hitung Entitas dalam Cakupan dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Count Entities in Scope". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Hitung Entitas dalam Cakupan:
| Nama hasil skrip | Nilai |
|---|---|
list_count |
NUMBER_OF_ENTITIES |
Daftar Jumlah
Gunakan tindakan Hitung Daftar untuk mengambil jumlah item dalam daftar.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Count List memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Input String |
Opsional. Daftar string yang dipisahkan koma, seperti
|
Delimiter |
Opsional. Simbol yang digunakan untuk memisahkan setiap nilai dalam
|
Output tindakan
Tindakan Count List memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Count List dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Count List". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Hitung Daftar:
| Nama hasil skrip | Nilai |
|---|---|
list_count |
NUMBER_OF_ENTITIES |
Hapus File
Gunakan tindakan Hapus File untuk menghapus file yang dipilih dari sistem file.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Hapus File memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
File Path |
Wajib. Jalur absolut file yang akan dihapus. |
Output tindakan
Tindakan Hapus File memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Hapus File:
{
"filepath": ""
"status": "deleted/not found"
}
Pesan output
Tindakan Hapus File dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Delete File". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Hapus File:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Mengekspor Entitas sebagai File OpenIOC
Gunakan tindakan Export Entities as OpenIOC File untuk mengemas artefak keamanan yang didukung dari kasus saat ini ke dalam format file OpenIOC standar. File ini dapat digunakan untuk berbagi, intelijen ancaman, atau mengimpor ke alat keamanan lainnya.
Tindakan ini berjalan di entity Google SecOps berikut:
FilehashIP AddressURLHostnameUser
Input tindakan
Tindakan Mengekspor Entitas sebagai File OpenIOC memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Export Folder Path | Wajib. Jalur lokal folder tempat file OpenIOC yang dihasilkan akan disimpan. |
Output tindakan
Tindakan Export Entities as OpenIOC File memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Export Entities as OpenIOC File:
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
Pesan output
Tindakan Export Entities as OpenIOC File dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Export Entities as OpenIOC File". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Mengekstrak item teratas Dari JSON
Gunakan tindakan Ekstrak teratas Dari JSON untuk mengurutkan JSON input menurut kunci tertentu dan menampilkan cabang atau kumpulan data peringkat teratas.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Ekstrak teratas Dari JSON memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
JSON Data | Wajib. Data JSON yang akan diproses. |
Key To Sort By | Wajib. Kunci bertingkat yang digunakan untuk pengurutan, dengan segmen yang dipisahkan oleh titik. Gunakan |
Field Type | Wajib. Jenis data kunci yang ditentukan untuk pengurutan. Kemungkinan nilainya adalah sebagai berikut:
|
Reverse (DESC -> ASC) | Opsional. Jika dipilih, urutan pengurutan adalah Menurun. Jika tidak dipilih, urutan pengurutan adalah Menaik. Diaktifkan secara default. |
Top Rows | Opsional. Jumlah data teratas (baris) yang akan diambil dari output JSON yang diurutkan. |
Output tindakan
Tindakan Ekstrak atas Dari JSON memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Ekstrak teratas Dari JSON:
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
Pesan output
Tindakan Ekstrak atas Dari JSON dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Extract top From JSON". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ekstrak teratas dari JSON:
| Nama hasil skrip | Nilai |
|---|---|
result |
RESULTS |
Memfilter JSON
Gunakan tindakan Filter JSON untuk memfilter objek JSON berdasarkan kondisi yang ditentukan dan mengekstrak hasil tertentu.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Filter JSON memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
JSON Data | Wajib. Data kamus JSON untuk menerapkan filter. |
Root Key Path | Opsional. Jalur awal yang dipisahkan titik untuk penelusuran JSON. |
Condition Path | Wajib. Jalur yang dipisahkan titik ke kolom yang nilainya dievaluasi terhadap
kondisi |
Condition Operator | Wajib. Operator perbandingan yang akan digunakan dalam kondisi. Kemungkinan nilainya adalah sebagai berikut:
|
Condition Value | Wajib. Nilai spesifik yang akan digunakan dalam kondisi |
Output Path | Opsional. Jalur yang dipisahkan dengan titik ke elemen data tertentu yang akan ditampilkan dari JSON yang difilter. |
Delimiter | Opsional. Karakter yang digunakan untuk menggabungkan nilai output jika beberapa elemen ditampilkan. Nilai defaultnya adalah |
Output tindakan
Tindakan Filter JSON memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Filter JSON:
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
Pesan output
Tindakan Filter JSON dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Filter JSON". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Filter JSON:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Mendapatkan URL Deployment
Gunakan tindakan Dapatkan URL Deployment untuk mengambil URL deployment untuk instance Google SecOps saat ini.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tidak ada.
Output tindakan
Tindakan Get Deployment URL memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Dapatkan URL Deployment:
{
"url": ""
}
Pesan output
Tindakan Get Deployment URL dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Deployment URL". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Dapatkan URL Deployment:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Mencantumkan Operasi
Gunakan tindakan List Operations untuk melakukan operasi set di antara dua daftar yang dipisahkan koma yang diberikan.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan List Operations memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
First List | Wajib. Daftar nilai yang dipisahkan koma pertama untuk operasi |
Second List | Wajib. Daftar kedua nilai yang dipisahkan koma untuk operasi |
Delimiter | Opsional. Simbol atau karakter yang digunakan untuk memisahkan nilai di
Nilai defaultnya adalah |
Operator | Wajib. Jenis operasi Kemungkinan nilainya adalah sebagai berikut:
|
Output tindakan
Tindakan List Operations memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan List Operations:
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan List Operations:
| Nama hasil skrip | Nilai |
|---|---|
result_list |
RESULTS |
Mengurai EML ke JSON
Gunakan tindakan Parse EML to JSON untuk mengonversi konten file email EML atau MSG menjadi objek JSON terstruktur dalam Google SecOps.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Parse EML to JSON memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
EML Content | Wajib. Konten file EML atau MSG berenkode base64. |
Blacklisted Headers | Opsional. Daftar header yang dipisahkan koma untuk dikecualikan dari output JSON akhir. |
Use Blacklist As Whitelist | Opsional. Jika dipilih, daftar yang diberikan di |
Output tindakan
Tindakan Parse EML to JSON memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Parse EML to JSON:
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Parse EML To JSON:
| Nama hasil skrip | Nilai |
|---|---|
parsed_eml |
RESULTS |
Output JSON tindakan untuk kolom with disusun ulang untuk
memisahkan nilai ID ke dalam kolom khusus. Perubahan ini berlaku untuk integrasi versi 10 dan yang lebih baru seperti yang dijelaskan dalam tabel berikut:
| Versi Integrasi | Struktur dan Deskripsi Kolom | Contoh JSON |
|---|---|---|
| Versi 9 dan yang lebih lama | ID dan protokol digabungkan ke dalam kolom with. | {"with": "smtp id ID"} |
| Versi 10 dan yang lebih baru | ID disimpan di kolom id baru, dan
kolom with hanya berisi protokol. | {"id": "ID", "with": "SMTP"} |
Ping
Gunakan tindakan Ping untuk menguji konektivitas ke SiemplifyUtilities.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tidak ada.
Output tindakan
Tindakan Ping memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Ping memberikan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
Connection Established. |
Tindakan berhasil. |
Failed to connect to SiemplifyUtilities. Error is
ERROR_REASON
|
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Ping:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Penggabung Kueri
Gunakan tindakan Penggabung Kueri untuk membuat string kueri terstruktur secara dinamis dengan menggabungkan daftar nilai penelusuran, kolom target, dan operator logis.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Penggabung Kueri memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Values | Wajib. Daftar nilai yang dipisahkan koma untuk dicari, seperti
|
Query Field | Wajib. Nama kolom target yang akan ditelusuri, seperti |
Query Operator | Wajib. Operator logika yang digunakan untuk menggabungkan nilai, seperti |
Add Quotes | Opsional. Jika dipilih, tanda petik tunggal ( Tidak diaktifkan secara default. |
Add Double Quotes | Opsional. Jika dipilih, tanda petik ganda ( Tidak diaktifkan secara default. |
Output tindakan
Tindakan Query Joiner memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Penggabung Kueri dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Query Joiner". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Penggabung Kueri:
| Nama hasil skrip | Nilai |
|---|---|
query |
QUERY_FIELD=
VALUE_1
OPERATOR
QUERY_FIELD=
VALUE_2
OPERATOR
QUERY_FIELD=
VALUE_3 |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.