Integrar o SiemplifyUtilities ao Google SecOps
Versão da integração: 20.0
Este documento explica como integrar o SiemplifyUtilities ao Google Security Operations (Google SecOps).
Casos de uso
A integração SiemplifyUtilities pode resolver os seguintes casos de uso:
Exportação e compartilhamento: use os recursos do Google SecOps com a ação Exportar entidades como arquivo OpenIOC para gerar rapidamente arquivos OpenIOC padronizados de entidades de segurança (como IPs, hashes de arquivos ou URLs) e compartilhá-los com plataformas de inteligência de ameaças ou outras equipes de segurança.
Manipulação de listas para lógica: use os recursos do Google SecOps com a ação Listar operações para realizar operações lógicas complexas (como interseção, união, subtração) em duas listas diferentes de valores em um playbook, fornecendo filtragem avançada ou combinação de fontes de dados.
Transformação e análise de dados: use os recursos do Google SecOps com a ação Extrair os principais de JSON para processar e priorizar conjuntos de dados JSON grandes e aninhados. Para isso, classifique-os com base em uma chave aninhada específica (como uma pontuação de gravidade) e retorne apenas os principais resultados relevantes para análise imediata.
Análise forense de e-mail: use os recursos do Google SecOps com a ação Analisar EML para JSON para converter mensagens de e-mail brutas codificadas em base64 (arquivos EML ou MSG) em um formato JSON estruturado. Assim, os cabeçalhos, o corpo, os anexos e os links do e-mail ficam acessíveis para análise e investigação automatizadas.
Parâmetros de integração
Nenhuma.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Contar entidades no escopo
Use a opção Contar entidades no escopo para recuperar o número de entidades em um escopo específico.
Essa ação é executada em todas as entidades do Google SecOps.
Entradas de ação
A ação Contar entidades no escopo exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Entity Type |
Obrigatório. O tipo das entidades de destino. |
Saídas de ação
A ação Contar entidades no escopo fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Contar entidades no escopo pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Count Entities in Scope". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Contar entidades no escopo:
| Nome do resultado do script | Valor |
|---|---|
list_count |
NUMBER_OF_ENTITIES |
Lista de contagem
Use a ação Contar lista para recuperar o número de itens em uma lista.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Contar lista exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Input String |
Opcional. Uma lista de strings separada por vírgulas, como
|
Delimiter |
Opcional. O símbolo usado para separar valores individuais no |
Saídas de ação
A ação Contar lista fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Contar lista pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Count List". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Contar lista:
| Nome do resultado do script | Valor |
|---|---|
list_count |
NUMBER_OF_ENTITIES |
Excluir arquivo
Use a ação Excluir arquivo para excluir um arquivo selecionado do sistema de arquivos.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Excluir arquivo exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
File Path |
Obrigatório. O caminho absoluto do arquivo a ser excluído. |
Saídas de ação
A ação Excluir arquivo fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultado JSON recebidas ao usar a ação Excluir arquivo:
{
"filepath": ""
"status": "deleted/not found"
}
Mensagens de saída
A ação Excluir arquivo pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Delete File". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Excluir arquivo:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Exportar entidades como arquivo OpenIOC
Use a ação Exportar entidades como arquivo OpenIOC para empacotar artefatos de segurança compatíveis do caso atual em um formato de arquivo OpenIOC padrão. Ele pode ser usado para compartilhamento, inteligência de ameaças ou importação para outras ferramentas de segurança.
Essa ação é executada nas seguintes entidades do Google SecOps:
FilehashIP AddressURLHostnameUser
Entradas de ação
A ação Exportar entidades como arquivo OpenIOC exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Export Folder Path | Obrigatório. O caminho local da pasta em que o arquivo OpenIOC gerado será salvo. |
Saídas de ação
A ação Exportar entidades como arquivo OpenIOC fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Exportar entidades como arquivo OpenIOC:
{
"absolute_file_path": OpenIOC_{random_guid}.txt
}
Mensagens de saída
A ação Exportar entidades como arquivo OpenIOC pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Export Entities as OpenIOC File". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Extrair os principais do JSON
Use a ação Extrair os principais do JSON para classificar um JSON de entrada por uma chave específica e retornar as ramificações ou os registros mais bem classificados.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Extrair principais do JSON exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
JSON Data | Obrigatório. Os dados JSON a serem processados. |
Key To Sort By | Obrigatório. A chave aninhada usada para classificação, com segmentos separados por pontos. Use |
Field Type | Obrigatório. O tipo de dados da chave especificada para classificação. Os valores possíveis são:
|
Reverse (DESC -> ASC) | Opcional. Se selecionada, a ordem de classificação será Decrescente. Se não estiver selecionada, a ordem de classificação será Crescente. Ativado por padrão. |
Top Rows | Opcional. O número de registros principais (linhas) a serem extraídos da saída JSON classificada. |
Saídas de ação
A ação Extrair de cima do JSON fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Extrair principal do JSON:
[
{
"HOST": {
"DETECTION":{
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST":{
"DETECTION": {
"PORT": "443",
"QID": "11827",
"PROTOCOL": "tcp",
"RESULTS": "X-Frame-Options or Content-Security-Policy: frame-ancestors HTTP Headers missing on port 443.",
"SEVERITY": "2"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}, {
"HOST": {
"DETECTION": {
"PORT": "53",
"QID": "15033",
"PROTOCOL": "udp",
"RESULTS": "--- IPv4 --- ",
"SEVERITY": "4"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T08:31:58Z",
"OS": "Linux 3.13"
},
"DATETIME": "2018-08-29T14:01:12Z"
}
]
Mensagens de saída
A ação Extrair os principais do JSON pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Extract top From JSON". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Extrair de cima do JSON:
| Nome do resultado do script | Valor |
|---|---|
result |
RESULTS |
Filtrar JSON
Use a ação Filtrar JSON para filtrar um objeto JSON com base em uma condição especificada e extrair resultados específicos.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Filtrar JSON exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
JSON Data | Obrigatório. Os dados do dicionário JSON para aplicar o filtro. |
Root Key Path | Opcional. O caminho inicial separado por pontos para a pesquisa JSON. |
Condition Path | Obrigatório. O caminho separado por ponto até o campo cujo valor é avaliado em relação à condição |
Condition Operator | Obrigatório. O operador de comparação a ser usado na condição. Os valores possíveis são:
|
Condition Value | Obrigatório. O valor específico a ser usado na condição |
Output Path | Opcional. O caminho separado por pontos para os elementos de dados específicos a serem retornados do JSON filtrado. |
Delimiter | Opcional. O caractere usado para unir os valores de saída se vários elementos forem retornados. O valor padrão é |
Saídas de ação
A ação Filtrar JSON fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Filtrar JSON:
{
"a": {
"HOST": [
{
"DETECTION": {
"QID": "82003",
"SEVERITY": "1",
"RESULTS": "Timestamp of host (network byte ordering): 03:40:14 GMT"
},
"IP": "1.1.1.1",
"LAST_SCAN_DATETIME": "2018-08-13T10:24:35Z",
"OS": "Windows 10"
}
],
"DATETIME": "2018-08-29T14:01:12Z"
}
}
Mensagens de saída
A ação Filtrar JSON pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Filter JSON". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Filtrar JSON:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Acessar URL de implantação
Use a ação Receber URL de implantação para recuperar o URL da implantação da sua instância atual do Google SecOps.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Receber URL de implantação fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Receber URL de implantação:
{
"url": ""
}
Mensagens de saída
A ação Receber URL de implantação pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Deployment URL". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber URL de implantação:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Listar operações
Use a ação Listar operações para realizar operações de conjunto entre duas listas separadas por vírgulas.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação List Operations requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
First List | Obrigatório. A primeira lista de valores separados por vírgulas para a operação |
Second List | Obrigatório. A segunda lista de valores separados por vírgulas para a operação |
Delimiter | Opcional. O símbolo ou caractere usado para separar valores em O valor padrão é |
Operator | Obrigatório. O tipo de operação Os valores possíveis são:
|
Saídas de ação
A ação List Operations fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação List Operations:
{
"results": {
"count": 6,
"data": [
"item",
"item1",
"item2"
]
}
}
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação List Operations:
| Nome do resultado do script | Valor |
|---|---|
result_list |
RESULTS |
Analisar EML para JSON
Use a ação Analisar EML para JSON para converter o conteúdo de um arquivo de e-mail EML ou MSG em um objeto JSON estruturado no Google SecOps.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Analisar EML para JSON exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
EML Content | Obrigatório. O conteúdo codificado em base64 do arquivo EML ou MSG. |
Blacklisted Headers | Opcional. Uma lista separada por vírgulas de cabeçalhos a serem excluídos da saída JSON final. |
Use Blacklist As Whitelist | Opcional. Se selecionada, a lista fornecida em |
Saídas de ação
A ação Analisar EML para JSON fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Analisar EML para JSON:
{
"HTML Body": "<div><br></div>",
"Attachments": {},
"Recipients": "john_doe@example.com",
"CC": "",
"Links": {
"urls_1": "https://lh4.googleusercontent.com/rE6-WYjfFuiHbHUV33G31NCtUeBl9YGnw4bvlorqMeNaC60qWagqtohFwCpq2eJxlMYMJPPDAqqXRZW6Oja8GqOjt3jB3aB6tzJP-jdtbCBoj-m3vu49tttHmWpXGJUSI6UuTUYS",
"urls_2": "https://lh4.googleusercontent.com/Uih5TalWnJjBbG_QaRICp8emX5wIakbCmstEDP3YHT7l45qdjIllcxg_Ddapvrh5DqGKszK3KKM5M0kEoC1YX6TgbWKJKPX0OxD5BeWr3uu6SRAHs7lwP20khjHSlxsIM46egQ-M"
},
"BCC": "",
"To": "john_doe@example.com",
"Date": "Mon, 13 Aug 2018 13:20:34 +0300",
"From": "john_doe@example.com",
"Subject": "TEST6:::Test:::ADVANCE NOTICE: 07.08.2018-Disable Accounts-user\\\r\\\\n Office Il Office"
}
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Analisar EML para JSON:
| Nome do resultado do script | Valor |
|---|---|
parsed_eml |
RESULTS |
A saída JSON da ação para o campo with é reestruturada para
separar o valor do ID em um campo dedicado. Essa mudança se aplica à versão 10
e mais recentes da integração, conforme descrito na tabela a seguir:
| Versão da integração | Estrutura e descrição do campo | Exemplo de JSON |
|---|---|---|
| Versão 9 e anteriores | O ID e o protocolo são combinados no campo with. | {"with": "smtp id ID"} |
| Versão 10 e mais recentes | O ID é armazenado no novo campo id, e o campo
with contém apenas o protocolo. | {"id": "ID", "with": "SMTP"} |
Ping
Use a ação Ping para testar a conectividade com SiemplifyUtilities.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping fornece as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
Connection Established. |
A ação foi concluída. |
Failed to connect to SiemplifyUtilities. Error is
ERROR_REASON
|
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir descreve os valores da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Unificador de consultas
Use a ação União de consultas para criar dinamicamente uma string de consulta estruturada combinando uma lista de valores de pesquisa, um campo de destino e um operador lógico.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação União de consultas exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Values | Obrigatório. Uma lista de valores separados por vírgulas para pesquisar, como
|
Query Field | Obrigatório. O nome do campo de destino em que pesquisar, como |
Query Operator | Obrigatório. O operador lógico usado para combinar os valores, como |
Add Quotes | Opcional. Se selecionada, aspas simples ( Não ativado por padrão. |
Add Double Quotes | Opcional. Se selecionado, aspas duplas ( Não ativado por padrão. |
Saídas de ação
A ação Junção de consultas fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Junção de consultas pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Query Joiner". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação União de consultas:
| Nome do resultado do script | Valor |
|---|---|
query |
QUERY_FIELD=
VALUE_1
OPERATOR
QUERY_FIELD=
VALUE_2
OPERATOR
QUERY_FIELD=
VALUE_3 |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.