Integre o SiemplifyUtilities com o SecOps da Google
Versão da integração: 20.0
Este documento explica como integrar o SiemplifyUtilities com o Google Security Operations (Google SecOps).
Exemplos de utilização
A integração SiemplifyUtilities pode resolver os seguintes exemplos de utilização:
Exportação e partilha: use as capacidades do Google SecOps com a ação Exportar entidades como ficheiro OpenIOC para gerar rapidamente ficheiros OpenIOC padronizados a partir de entidades de segurança (como IPs, hashes de ficheiros ou URLs) e partilhá-los com plataformas de informações sobre ameaças ou outras equipas de segurança.
Manipulação de listas para lógica: use as capacidades do Google SecOps com a ação Operações de listas para realizar operações lógicas complexas (como interseção, união, subtração) em duas listas diferentes de valores num manual de procedimentos, o que permite o filtro avançado ou a combinação de origens de dados.
Transformação e análise de dados: use as capacidades do Google SecOps com a ação Extrair principais de JSON para processar e dar prioridade a grandes conjuntos de dados JSON aninhados, ordenando-os com base numa chave aninhada específica (como uma pontuação de gravidade) e devolvendo apenas os principais resultados relevantes para análise imediata.
Análise forense de emails: use as capacidades do Google SecOps com a ação Analisar EML para JSON para converter mensagens de email não processadas codificadas em base64 (ficheiros EML ou MSG) num formato JSON estruturado, tornando os cabeçalhos, o corpo, os anexos e os links do email acessíveis para análise e investigação automatizadas.
Parâmetros de integração
Nenhum.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Realize uma ação manual.
Contagem de entidades no âmbito
Use a função Count Entities in Scope para obter o número de entidades num âmbito específico.
Esta ação é executada em todas as entidades do Google SecOps.
Dados de ações
A ação Count Entities in Scope requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Entity Type |
Obrigatório. O tipo das entidades de destino. |
Resultados da ação
A ação Contar entidades no âmbito fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Count Entities in Scope pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Count Entities in Scope". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Count Entities in Scope:
| Nome do resultado do script | Valor |
|---|---|
list_count |
NUMBER_OF_ENTITIES |
Lista de contagem
Use a ação Contar lista para obter o número de itens numa lista.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Count List requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Input String |
Opcional. Uma lista de strings separadas por vírgulas, como
|
Delimiter |
Opcional. O símbolo usado para separar valores individuais no elemento
|
Resultados da ação
A ação Contar lista fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Count List pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Count List". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores do resultado do script quando usa a ação Count List:
| Nome do resultado do script | Valor |
|---|---|
list_count |
NUMBER_OF_ENTITIES |
Eliminar ficheiro
Use a ação Eliminar ficheiro para eliminar um ficheiro selecionado do sistema de ficheiros.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Eliminar ficheiro requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
File Path |
Obrigatório. O caminho absoluto do ficheiro a eliminar. |
Resultados da ação
A ação Eliminar ficheiro fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra as saídas de resultados JSON recebidas quando usa a ação Eliminar ficheiro:
{
"filepath": ""
"status": "deleted/not found"
}
Mensagens de saída
A ação Delete File pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Delete File". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte indica o valor do resultado do script quando usa a ação Delete File:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Exporte entidades como ficheiro OpenIOC
Use a ação Exportar entidades como ficheiro OpenIOC para agrupar artefactos de segurança suportados do registo atual num formato de ficheiro OpenIOC padrão. Este ficheiro pode ser usado para partilha, informações sobre ameaças ou importação para outras ferramentas de segurança.
Esta ação é executada nas seguintes entidades do Google SecOps:
FilehashIP AddressURLHostnameUser
Dados de ações
A ação Exportar entidades como ficheiro OpenIOC requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Export Folder Path | Obrigatório. O caminho local da pasta onde o ficheiro OpenIOC gerado vai ser guardado. |
Resultados da ação
A ação Exportar entidades como ficheiro OpenIOC fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra as saídas de resultados JSON recebidas quando usa a ação Exportar entidades como ficheiro OpenIOC:
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
Mensagens de saída
A ação Exportar entidades como ficheiro OpenIOC pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Export Entities as OpenIOC File". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Extraia os principais resultados de JSON
Use a ação Extrair principais do JSON para ordenar um JSON de entrada por uma chave específica e devolver os ramos ou os registos com a classificação mais elevada.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Extrair de JSON requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
JSON Data | Obrigatório. Os dados JSON a processar. |
Key To Sort By | Obrigatório. A chave aninhada usada para a ordenação, com segmentos separados por pontos. Use |
Field Type | Obrigatório. O tipo de dados da chave especificada para a ordenação. Os valores possíveis são os seguintes:
|
Reverse (DESC -> ASC) | Opcional. Se estiver selecionada, a ordem de ordenação é Descendente. Se não for selecionada, a ordem de ordenação é Ascendente. Ativada por predefinição. |
Top Rows | Opcional. O número de registos principais (linhas) a obter da saída JSON ordenada. |
Resultados da ação
A ação Extrair do JSON fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra as saídas de resultados JSON recebidas quando usa a ação Extrair principal de JSON:
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
Mensagens de saída
A ação Extrair principal de JSON pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Extract top From JSON". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Extrair principal do JSON:
| Nome do resultado do script | Valor |
|---|---|
result |
RESULTS |
Filtrar JSON
Use a ação Filtrar JSON para filtrar um objeto JSON com base numa condição especificada e extrair resultados específicos.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Filtrar JSON requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
JSON Data | Obrigatório. Os dados do dicionário JSON aos quais aplicar o filtro. |
Root Key Path | Opcional. O caminho inicial separado por pontos para a pesquisa JSON. |
Condition Path | Obrigatório. O caminho separado por pontos para o campo cujo valor é avaliado em função da condição |
Condition Operator | Obrigatório. O operador de comparação a usar na condição. Os valores possíveis são os seguintes:
|
Condition Value | Obrigatório. O valor específico a usar na condição |
Output Path | Opcional. O caminho separado por pontos para os elementos de dados específicos a devolver do JSON filtrado. |
Delimiter | Opcional. O caráter usado para juntar os valores de saída se forem devolvidos vários elementos. O valor predefinido é |
Resultados da ação
A ação Filtrar JSON fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Filtrar JSON:
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
Mensagens de saída
A ação Filtrar JSON pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Filter JSON". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor da saída do resultado do script quando usa a ação JSON do filtro:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Obtenha o URL de implementação
Use a ação Get Deployment URL para obter o URL de implementação da sua instância atual do Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Get Deployment URL fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra as saídas de resultados JSON recebidas quando usa a ação Get Deployment URL:
{
"url": ""
}
Mensagens de saída
A ação Get Deployment URL pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Deployment URL". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Get Deployment URL:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Apresentar operações
Use a ação List Operations para realizar operações de conjunto entre duas listas separadas por vírgulas fornecidas.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação List Operations requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
First List | Obrigatório. A primeira lista de valores separados por vírgulas para a operação |
Second List | Obrigatório. A segunda lista de valores separados por vírgulas para a operação |
Delimiter | Opcional. O símbolo ou o caráter usado para separar os valores nos elementos
O valor predefinido é |
Operator | Obrigatório. O tipo de operação Os valores possíveis são os seguintes:
|
Resultados da ação
A ação List Operations fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra as saídas de resultados JSON recebidas quando usa a ação List Operations:
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
Resultado do script
A tabela seguinte lista o valor da saída do resultado do script quando usa a ação List Operations:
| Nome do resultado do script | Valor |
|---|---|
result_list |
RESULTS |
Analise EML para JSON
Use a ação Analisar EML para JSON para converter o conteúdo de um ficheiro de email EML ou MSG num objeto JSON estruturado no Google SecOps.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Analisar EML para JSON requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
EML Content | Obrigatório. O conteúdo codificado em base64 do ficheiro EML ou MSG. |
Blacklisted Headers | Opcional. Uma lista de cabeçalhos separados por vírgulas a excluir da saída JSON final. |
Use Blacklist As Whitelist | Opcional. Se estiver selecionada, a lista fornecida em |
Resultados da ação
A ação Analisar EML para JSON fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra os resultados JSON recebidos quando usa a ação Analisar EML para JSON:
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
Resultado do script
A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Analisar EML para JSON:
| Nome do resultado do script | Valor |
|---|---|
parsed_eml |
RESULTS |
O resultado JSON da ação para o campo with é reestruturado para separar o valor do ID num campo dedicado. Esta alteração aplica-se à versão 10 e posteriores da integração, conforme descrito na tabela seguinte:
| Versão da integração | Estrutura e descrição dos campos | Exemplo de JSON |
|---|---|---|
| Versão 9 e anteriores | O ID e o protocolo são combinados no campo with. | {"with": "smtp id ID"} |
| Versão 10 e posteriores | O ID é armazenado no novo campo id e o campo with contém apenas o protocolo. | {"id": "ID", "with": "SMTP"} |
Tchim-tchim
Use a ação Ping para testar a conetividade com SiemplifyUtilities.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Ping fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping apresenta as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
Connection Established. |
A ação foi bem-sucedida. |
Failed to connect to SiemplifyUtilities. Error is
ERROR_REASON
|
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte descreve os valores da saída do resultado do script quando usa a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Aglutinador de consultas
Use a ação Query Joiner para criar dinamicamente uma string de consulta estruturada combinando uma lista de valores de pesquisa, um campo de destino e um operador lógico.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Query Joiner requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Values | Obrigatório. Uma lista de valores separados por vírgulas a pesquisar, como
|
Query Field | Obrigatório. O nome do campo de destino no qual pesquisar, como |
Query Operator | Obrigatório. O operador lógico usado para combinar os valores, como |
Add Quotes | Opcional. Se selecionada, são adicionadas aspas simples ( Não está ativada por predefinição. |
Add Double Quotes | Opcional. Se estiver selecionada, são adicionadas aspas duplas ( Não está ativada por predefinição. |
Resultados da ação
A ação Query Joiner fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Tabela de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Query Joiner pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Query Joiner". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Query Joiner:
| Nome do resultado do script | Valor |
|---|---|
query |
QUERY_FIELD=
VALUE_1
OPERATOR
QUERY_FIELD=
VALUE_2
OPERATOR
QUERY_FIELD=
VALUE_3 |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.