Integra SiemplifyUtilities con Google SecOps
Versione integrazione: 20.0
Questo documento spiega come integrare SiemplifyUtilities con Google Security Operations (Google SecOps).
Casi d'uso
L'integrazione SiemplifyUtilities può gestire i seguenti casi d'uso:
Esportazione e condivisione: utilizza le funzionalità di Google SecOps con l'azione Esporta entità come file OpenIOC per generare rapidamente file OpenIOC standardizzati da entità di sicurezza (come IP, hash di file o URL) e condividili con piattaforme di intelligence sulle minacce o altri team di sicurezza.
Manipolazione degli elenchi per la logica: utilizza le funzionalità di Google SecOps con l'azione Operazioni con gli elenchi per eseguire operazioni logiche complesse (come intersezione, unione, sottrazione) su due elenchi diversi di valori all'interno di un playbook, fornendo un filtro avanzato o la combinazione di origini dati.
Trasformazione e analisi dei dati: utilizza le funzionalità di Google SecOps con l'azione Estrai i primi da JSON per elaborare e dare la priorità a set di dati JSON di grandi dimensioni e nidificati ordinandoli in base a una chiave nidificata specifica (ad esempio un punteggio di gravità) e restituendo solo i risultati più pertinenti per l'analisi immediata.
Analisi forense delle email: utilizza le funzionalità di Google SecOps con l'azione Analizza EML in JSON per convertire i messaggi email non elaborati codificati in base64 (file EML o MSG) in un formato JSON strutturato, rendendo accessibili le intestazioni, il corpo, gli allegati e i link dell'email per l'analisi e l'indagine automatizzate.
Parametri di integrazione
Nessuno.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Conteggio delle entità nell'ambito
Utilizza Conteggio entità nell'ambito per recuperare il numero di entità in un ambito specifico.
Questa azione viene eseguita su tutte le entità Google SecOps.
Input azione
L'azione Conteggio entità nell'ambito richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Entity Type |
Obbligatorio. Il tipo di entità target. |
Output dell'azione
L'azione Conteggia entità nell'ambito fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Conteggia entità nell'ambito può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Count Entities in Scope". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente descrive i valori dell'output del risultato dello script quando utilizzi l'azione Conteggio entità nell'ambito:
| Nome del risultato dello script | Valore |
|---|---|
list_count |
NUMBER_OF_ENTITIES |
Elenco conteggio
Utilizza l'azione Elenco conteggio per recuperare il numero di elementi in un elenco.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Conteggio elenco richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Input String |
Facoltativo. Un elenco di stringhe separate da virgole, ad esempio
|
Delimiter |
Facoltativo. Il simbolo utilizzato per separare i singoli valori all'interno di
|
Output dell'azione
L'azione Elenco conteggio fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Elenco conteggio può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Count List". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella descrive i valori per l'output del risultato dello script quando utilizzi l'azione Conteggio elenco:
| Nome del risultato dello script | Valore |
|---|---|
list_count |
NUMBER_OF_ENTITIES |
Elimina file
Utilizza l'azione Elimina file per eliminare un file selezionato dal file system.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Elimina file richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
File Path |
Obbligatorio. Il percorso assoluto del file da eliminare. |
Output dell'azione
L'azione Elimina file fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra gli output dei risultati JSON ricevuti quando si utilizza l'azione Elimina file:
{
"filepath": ""
"status": "deleted/not found"
}
Messaggi di output
L'azione Elimina file può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Delete File". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Elimina file:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Esportare le entità come file OpenIOC
Utilizza l'azione Esporta entità come file OpenIOC per raggruppare gli artefatti di sicurezza supportati del caso corrente in un formato file OpenIOC standard. Questo file può essere utilizzato per la condivisione, l'intelligence sulle minacce o l'importazione in altri strumenti di sicurezza.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
FilehashIP AddressURLHostnameUser
Input azione
L'azione Esporta entità come file OpenIOC richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Export Folder Path | Obbligatorio. Il percorso locale della cartella in cui verrà salvato il file OpenIOC generato. |
Output dell'azione
L'azione Esporta entità come file OpenIOC fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra gli output dei risultati JSON ricevuti quando si utilizza l'azione Esporta entità come file OpenIOC:
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
Messaggi di output
L'azione Esporta entità come file OpenIOC può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Export Entities as OpenIOC File". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Estrai i primi da JSON
Utilizza l'azione Estrai primi da JSON per ordinare un JSON di input in base a una chiave specifica e restituire i rami o i record con il ranking più alto.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Estrai primo da JSON richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
JSON Data | Obbligatorio. I dati JSON da elaborare. |
Key To Sort By | Obbligatorio. La chiave nidificata utilizzata per l'ordinamento, con i segmenti separati da punti. Utilizza |
Field Type | Obbligatorio. Il tipo di dati della chiave specificata per l'ordinamento. I valori possibili sono:
|
Reverse (DESC -> ASC) | Facoltativo. Se selezionato, l'ordine di ordinamento è Decrescente. Se non è selezionato, l'ordine di ordinamento è Crescente. Abilitato per impostazione predefinita. |
Top Rows | Facoltativo. Il numero di record (righe) principali da recuperare dall'output JSON ordinato. |
Output dell'azione
L'azione Estrai primo da JSON fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra gli output dei risultati JSON ricevuti quando si utilizza l'azione Estrai primo da JSON:
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
Messaggi di output
L'azione Estrai i primi risultati dal JSON può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Extract top From JSON". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Estrai primo da JSON:
| Nome del risultato dello script | Valore |
|---|---|
result |
RESULTS |
Filtra JSON
Utilizza l'azione Filtra JSON per filtrare un oggetto JSON in base a una condizione specificata ed estrarre risultati specifici.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Filtra JSON richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
JSON Data | Obbligatorio. I dati del dizionario JSON a cui applicare il filtro. |
Root Key Path | Facoltativo. Il percorso iniziale separato da punti per la ricerca JSON. |
Condition Path | Obbligatorio. Il percorso separato da punti al campo il cui valore viene valutato in base alla condizione |
Condition Operator | Obbligatorio. L'operatore di confronto da utilizzare nella condizione. I valori possibili sono:
|
Condition Value | Obbligatorio. Il valore specifico da utilizzare nella condizione |
Output Path | Facoltativo. Il percorso separato da punti agli elementi di dati specifici da restituire dal file JSON filtrato. |
Delimiter | Facoltativo. Il carattere utilizzato per unire i valori di output se vengono restituiti più elementi. Il valore predefinito è |
Output dell'azione
L'azione Filtra JSON fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Filtra JSON:
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
Messaggi di output
L'azione Filtra JSON può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Filter JSON". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Filtra JSON:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Ottieni l'URL del deployment
Utilizza l'azione Ottieni URL di deployment per recuperare l'URL di deployment per la tua istanza di Google SecOps attuale.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
Nessuno.
Output dell'azione
L'azione Ottieni URL di deployment fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra gli output dei risultati JSON ricevuti quando si utilizza l'azione Ottieni URL di deployment:
{
"url": ""
}
Messaggi di output
L'azione Ottieni URL di deployment può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Deployment URL". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni URL di deployment:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Elenco operazioni
Utilizza l'azione Elenca operazioni per eseguire operazioni di insieme tra due elenchi separati da virgole forniti.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Elenca operazioni richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
First List | Obbligatorio. Il primo elenco di valori separati da virgola per l'operazione |
Second List | Obbligatorio. Il secondo elenco di valori separati da virgola per l'operazione |
Delimiter | Facoltativo. Il simbolo o il carattere utilizzato per separare i valori sia in
Il valore predefinito è |
Operator | Obbligatorio. Il tipo di operazione I valori possibili sono:
|
Output dell'azione
L'azione Elenca operazioni fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra gli output dei risultati JSON ricevuti quando si utilizza l'azione Elenca operazioni:
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Elenca operazioni:
| Nome del risultato dello script | Valore |
|---|---|
result_list |
RESULTS |
Analizza EML in JSON
Utilizza l'azione Analizza EML in JSON per convertire i contenuti di un file email EML o MSG in un oggetto JSON strutturato all'interno di Google SecOps.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Analizza EML in JSON richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
EML Content | Obbligatorio. I contenuti con codifica Base64 del file EML o MSG. |
Blacklisted Headers | Facoltativo. Un elenco separato da virgole di intestazioni da escludere dall'output JSON finale. |
Use Blacklist As Whitelist | Facoltativo. Se selezionato, l'elenco fornito in |
Output dell'azione
L'azione Analizza EML in JSON fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra gli output dei risultati JSON ricevuti quando si utilizza l'azione Analizza EML in JSON:
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Analizza EML in JSON:
| Nome del risultato dello script | Valore |
|---|---|
parsed_eml |
RESULTS |
L'output JSON dell'azione per il campo with viene ristrutturato per
separare il valore ID in un campo dedicato. Questa modifica si applica alla versione 10 e successive dell'integrazione, come descritto nella tabella seguente:
| Versione integrazione | Struttura e descrizione dei campi | Esempio di struttura JSON |
|---|---|---|
| Versione 9 e precedenti | L'ID e il protocollo vengono combinati nel campo with. | {"with": "smtp id ID"} |
| Versione 10 e successive | L'ID viene memorizzato nel nuovo campo id e il campo with contiene solo il protocollo. | {"id": "ID", "with": "SMTP"} |
Dindin
Utilizza l'azione Ping per testare la connettività a SiemplifyUtilities.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
Nessuno.
Output dell'azione
L'azione Ping fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Ping fornisce i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
Connection Established. |
L'azione è riuscita. |
Failed to connect to SiemplifyUtilities. Error is
ERROR_REASON
|
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella descrive i valori per l'output del risultato dello script quando utilizzi l'azione Ping:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Query Joiner
Utilizza l'azione Query Joiner per creare dinamicamente una stringa di query strutturata combinando un elenco di valori di ricerca, un campo di destinazione e un operatore logico.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Query Joiner richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Values | Obbligatorio. Un elenco di valori separati da virgole da cercare, ad esempio
|
Query Field | Obbligatorio. Il nome del campo di destinazione in cui eseguire la ricerca, ad esempio |
Query Operator | Obbligatorio. L'operatore logico utilizzato per combinare i valori, ad esempio |
Add Quotes | Facoltativo. Se selezionate, le virgolette singole ( Non è abilitata per impostazione predefinita. |
Add Double Quotes | Facoltativo. Se selezionata, vengono aggiunte le virgolette doppie ( Non è abilitata per impostazione predefinita. |
Output dell'azione
L'azione Unione query fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Unione query può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Query Joiner". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Query Joiner:
| Nome del risultato dello script | Valore |
|---|---|
query |
QUERY_FIELD=
VALUE_1
OPERATOR
QUERY_FIELD=
VALUE_2
OPERATOR
QUERY_FIELD=
VALUE_3 |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.