Siemplify in Google SecOps einbinden

Integrationsversion: 94.0

In diesem Dokument wird beschrieben, wie Sie Siemplify in Google Security Operations (Google SecOps) einbinden.

Anwendungsfälle

Die Siemplify-Integration kann für die folgenden Anwendungsfälle verwendet werden:

• Phishing-Untersuchung: Mit den Google SecOps-Funktionen können Sie den Prozess der Analyse von Phishing-E-Mails automatisieren, Indikatoren für Manipulationen (Indicators of Compromise, IOCs) extrahieren und mit Threat Intelligence anreichern.

• Malware-Eindämmung: Mit den Google SecOps-Funktionen können Sie infizierte Endpunkte automatisch isolieren, Scans starten und schädliche Dateien bei der Erkennung von Malware unter Quarantäne stellen.

• Verwaltung von Sicherheitslücken: Mit den Google SecOps-Funktionen können Sie Scans auf Sicherheitslücken orchestrieren, Sicherheitslücken anhand des Risikos priorisieren und automatisch Tickets für die Behebung erstellen.

• Bedrohungssuche: Mit Google SecOps-Funktionen können Sie die Ausführung von Bedrohungssuche-Abfragen für verschiedene Sicherheitstools und Datasets automatisieren.

• Triage von Sicherheitswarnungen: Mit Google SecOps können Sie Sicherheitswarnungen automatisch mit Kontextinformationen anreichern, sie mit anderen Ereignissen in Beziehung setzen und sie nach Schweregrad priorisieren.

• Reaktion auf Vorfälle: Mit Google SecOps können Sie den gesamten Prozess der Reaktion auf Vorfälle orchestrieren, von der ersten Erkennung bis zur Eindämmung und Beseitigung.

• Compliance-Berichte: Mit Google SecOps-Funktionen können Sie die Erhebung und Analyse von Sicherheitsdaten für Compliance-Berichte automatisieren.

Integrationsparameter

Für die Siemplify-Integration sind die folgenden Parameter erforderlich:

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.

Entitäts-Insight hinzufügen

Mit der Aktion Add Entity Insight (Entität-Insight hinzufügen) können Sie einer Google SecOps-Entität in Siemplify einen Insight hinzufügen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Add Entity Insight sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Add Entity Insight (Statistik für Entität hinzufügen) gibt die folgenden Ausgaben zurück:

Ausgabenachrichten

Die Aktion Add Entity Insight kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add Entity Insight verwendet wird:

Allgemeinen Insight hinzufügen

Verwenden Sie die Aktion Allgemeinen Insight hinzufügen, um dem Fall einen allgemeinen Insight hinzuzufügen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Add General Insight sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Allgemeine Statistik hinzufügen bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Add General Insight kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add General Insight verwendet wird:

Ähnlichen Fällen Tags hinzufügen

Mit der Aktion Add Tags To Similar Cases (Tags zu ähnlichen Fällen hinzufügen) können Sie ähnlichen Fällen Tags hinzufügen.

Um ähnliche Fälle zu finden, verwendet die Aktion die Funktion siemplify.get_similar_cases(), um eine Liste von Fall-IDs basierend auf einer Reihe von Kriterien und Parametern abzurufen.

Der logische Operator AND wird auf die Parameter Rule Generator, Port, Category Outcome und Entity Identifier angewendet, um nach Fällen zu filtern, die allen angegebenen Kriterien entsprechen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Tags zu ähnlichen Fällen hinzufügen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Tags zu ähnlichen Fällen hinzufügen bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Tags zu ähnlichen Fällen hinzufügen kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add Tags To Similar Cases (Ähnlichen Anfragen Tags hinzufügen) verwendet wird:

Zur benutzerdefinierten Liste hinzufügen

Mit der Aktion Zur benutzerdefinierten Liste hinzufügen können Sie einer kategorisierten benutzerdefinierten Liste eine Kennung für ein Rechtssubjekt hinzufügen und zukünftige Vergleiche in anderen Aktionen durchführen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Zur benutzerdefinierten Liste hinzufügen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Benutzerdefinierter Liste hinzufügen bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Zur benutzerdefinierten Liste hinzufügen kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Zur benutzerdefinierten Liste hinzufügen aufgeführt:

Fall zuweisen

Mit der Aktion Fall zuweisen können Sie den Fall einem bestimmten Nutzer oder einer bestimmten Nutzergruppe zuweisen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Fall zuweisen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Fall zuweisen bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Zur benutzerdefinierten Liste hinzufügen kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Fall zuweisen verwendet wird:

Playbook an Benachrichtigung anhängen

Mit der Aktion Playbook an Benachrichtigung anhängen können Sie der Benachrichtigung ein bestimmtes Playbook anhängen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Playbook an Benachrichtigung anhängen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Playbook an Benachrichtigung anhängen bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Search Graphs kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Playbook an Benachrichtigung anhängen verwendet wird:

Kommentar zur Anfrage

Mit der Aktion Fallkommentar können Sie dem Fall, in dem die aktuelle Benachrichtigung gruppiert ist, einen Kommentar hinzufügen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Fallkommentar sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Case Comment (Fallkommentar) bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Add Vote To Entity kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Case Comment aufgeführt:

Tag für Supportanfrage

Mit der Aktion Case Tag können Sie dem Fall, in dem die aktuelle Benachrichtigung gruppiert ist, ein Tag hinzufügen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Case Tag sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Case Tag (Fall-Tag) bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Case Tag kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Case Tag verwendet wird:

Benachrichtigungspriorität ändern

Mit der Aktion Benachrichtigungspriorität ändern können Sie die Priorität einer Benachrichtigung in einem Fall aktualisieren.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Benachrichtigungspriorität ändern sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Benachrichtigungspriorität ändern bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Add Vote To Entity kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Change Alert Priority (Benachrichtigungspriorität ändern) verwendet wird:

Fallphase ändern

Verwenden Sie die Aktion Fallphase ändern, um die Fallphase zu ändern.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Change Case Stage (Fallstatus ändern) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Change Case Stage (Fallstatus ändern) bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Add Vote To Entity kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Change Case Stage (Fallstatus ändern) verwendet wird:

Priorität ändern

Mit der Aktion Priorität ändern können Sie die Priorität des Falls ändern.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Change Priority sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Priorität ändern liefert die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Add Vote To Entity kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Change Priority (Priorität ändern) verwendet wird:

Benachrichtigung schließen

Verwenden Sie die Aktion Benachrichtigung schließen, um die Benachrichtigung zu schließen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Benachrichtigung schließen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Benachrichtigung schließen liefert die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Add Vote To Entity kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Close Alert (Benachrichtigung schließen) verwendet wird:

Fall schließen

Verwenden Sie die Aktion Fall schließen, um den Fall zu schließen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Close Case sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Close Case (Vorgang schließen) bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Add Vote To Entity kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Close Case verwendet wird:

Entität erstellen

Mit der Aktion Entität erstellen können Sie eine neue Entität erstellen und sie einer Benachrichtigung hinzufügen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Create Entity (Entität erstellen) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Create Entity (Entität erstellen) gibt Folgendes aus:

Ausgabenachrichten

Die Aktion Create Entity (Entität erstellen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Create Entity aufgeführt:

Gemini-Zusammenfassung für Anfragen erstellen

Mit der Aktion Gemini-Fallzusammenfassung erstellen können Sie eine neue Gemini-Fallzusammenfassung erstellen und einem Alert hinzufügen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Gemini-Fallzusammenfassung erstellen liefert die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die beim Verwenden der Aktion Create Gemini Case Summary (Gemini-Zusammenfassung für Kundenserviceticket erstellen) empfangen wird:

{
  "summary": "On the Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214), user vanshikavw_google_com initiated the process curl (SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140) to create the malware file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.\n*  VirusTotal identifies the SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 as a virus.eicar/test.\n*  CURL is associated with multiple actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961.\n*  CURL is known to use MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588.\n*  A GTI MALWARE search did not find any information about eicar_test_vanshikavw-test-new.\n*  A GTI IP_ADDRESS search did not find any information about 10.150.0.3 or 34.85.128.214.", 
  "next_steps": ["Isolate instance-1 to prevent any potential lateral movement or further compromise of the network, as the curl process is associated with multiple threat actors.", 
  "Investigate the user account vanshikavw_google_com to determine if the user's credentials have been compromised or if the user initiated the curl process intentionally, as the curl process is associated with multiple threat actors.", 
  "Analyze the network traffic to and from the IP addresses 10.150.0.3 and 34.85.128.214 for any suspicious communication patterns, as the curl process is associated with multiple threat actors.", 
  "Examine the process execution logs on instance-1 for any other unusual or unauthorized activities, as the curl process is associated with multiple threat actors.", 
  "Review the configuration of the Linux agent on instance-1 to ensure that it is properly secured and that no unauthorized modifications have been made, as the curl process is associated with multiple threat actors."], 
  "reasons": ["The case involves a Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214) where user vanshikavw_google_com initiated the process curl to create the file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.", 
  "The SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 of the curl process is identified by VirusTotal as virus.eicar/test, indicating it is a known test virus.", 
  "The process CURL is associated with multiple threat actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961, suggesting a potential link to malicious activity.", 
  "CURL is known to use various MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588, indicating a wide range of potential malicious behaviors.", 
  "The file eicar_test_vanshikavw-test-new was not found in GTI MALWARE searches, and the IP addresses 10.150.0.3 and 34.85.128.214 were not found in GTI IP_ADDRESS searches."]
}

Ausgabenachrichten

Die Aktion Create Gemini Case Summary kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Gemini-Zusammenfassung für Kundenserviceticket erstellen verwendet wird:

Entitätseigenschaften erstellen oder aktualisieren

Mit der Aktion Create Or Update Entity Properties (Entitätseigenschaften erstellen oder aktualisieren) können Sie die Eigenschaften von Entitäten im Entitätsbereich erstellen oder ändern.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Create Or Update Entity Properties (Entitätseigenschaften erstellen oder aktualisieren) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Create Or Update Entity Properties (Entitätseigenschaften erstellen oder aktualisieren) bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Create Or Update Entity Properties kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Create Or Update Entity Properties verwendet wird:

Benachrichtigungen zu Fällen erhalten

Mit der Aktion Get Case Alerts können Sie Benachrichtigungen zu bestimmten Fällen abrufen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Get Case Alerts sind die folgenden Parameter erforderlich:

Falldetails abrufen

Mit der Aktion Get Case Details (Falldetails abrufen) können Sie alle Daten aus einem Fall abrufen, einschließlich Kommentare, Informationen zu Entitäten, Statistiken, ausgeführte Playbooks, Benachrichtigungsinformationen und Ereignisse.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Get Case Details (Vorgangsdetails abrufen) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Get Case Details (Anfrage-Details abrufen) gibt die folgenden Ausgaben zurück:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Case Details (Vorgangsdetails abrufen) empfangen wird:

{
"id": 24879,
"creationTimeUnixTimeInMs": 1750862500562,
"modificationTimeUnixTimeInMs": 1750862500562,
"name": "Malware",
"priority": -1,
"isImportant": false,
"isIncident": false,
"startTimeUnixTimeInMs": 1727243021999,
"endTimeUnixTimeInMs": 1727243022479,
"assignedUser": "@Tier1",
"description": null,
"isTestCase": true,
"type": 1,
"stage": "Triage",
"environment": "Default Environment",
"status": 1,
"incidentId": null,
"tags": ["hi", "Simulated Case"],
"alertCards": [{
  "id": 172354,
  "creationTimeUnixTimeInMs": 1750862500651,
  "modificationTimeUnixTimeInMs": 1750862500651,
  "identifier": "EICAR_TEST_VANSHIKAVW-TEST-NEW0CC43705-04A7-43FD-88CD-B3E7FECA881D",
  "status": 0,
  "name": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "priority": -1,
  "workflowsStatus": 1,
  "slaExpirationUnixTime": null,
  "slaCriticalExpirationUnixTime": null,
  "startTime": 1727243021999,
  "endTime": 1727243022479,
  "alertGroupIdentifier": "MalwareSFBrxjAXvKJsJyKe5iQalf00zrv/QwX966dRoEyP2eA=_8cc160b5-7039-421c-926c-1a98073f11d2",
  "eventsCount": 3,
  "title": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "ruleGenerator": "Malware",
  "deviceProduct": "SentinelOneV2",
  "deviceVendor": "SentinelOneV2",
  "playbookAttached": "Testing",
  "playbookRunCount": 1,
  "isManualAlert": false,
  "sla": {
    "slaExpirationTime": null,
    "criticalExpirationTime": null,
    "expirationStatus": 2,
    "remainingTimeSinceLastPause": null
    },
  "fieldsGroups": [],
  "sourceUrl": null,
  "sourceRuleUrl": null,
  "siemAlertId": null,
  "relatedCases": [],
  "lastSourceUpdateUnixTimeInMs": null,
  "caseId": 24879,
  "nestingDepth": 0
  }],
"isOverflowCase": false,
"isManualCase": false,
"slaExpirationUnixTime": null,
"slaCriticalExpirationUnixTime": null,
"stageSlaExpirationUnixTimeInMs": null,
"stageSlaCriticalExpirationUnixTimeInMs": null,
"canOpenIncident": false,
"sla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null
  },
"stageSla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null},
  "relatedAlertTicketId": null,
  "relatedAlertCards": []
  }

Ausgabenachrichten

Die Aktion Get Case Details (Supportanfrage-Details abrufen) kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Case Details (Vorgangsdetails abrufen) verwendet wird:

Connector-Kontextwert abrufen

Verwenden Sie die Aktion Get Connector Context Value (Wert für Connector-Kontext abrufen), um einen Wert aus einem angegebenen Schlüssel in der Google SecOps-Datenbank für einen Connector-Kontext abzurufen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Get Connector Context Value sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Get Connector Context Value (Connector-Kontextwert abrufen) bietet die folgenden Ausgaben:

Tabelle „Fall-Repository“

Mit der Aktion Get Connector Context Value (Wert des Connector-Kontexts abrufen) kann die folgende Tabelle generiert werden:

Tabellenname: Connector

Tabellenspalten:

• Connector-Kennung
• Schlüssel
• Wert

Ausgabenachrichten

Die Aktion Get Connector Context Value (Wert des Connector-Kontexts abrufen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Connector Context Value (Wert des Connector-Kontexts abrufen) verwendet wird:

Werte für benutzerdefinierte Felder abrufen

Mit der Aktion Benutzerdefinierte Feldwerte abrufen können Sie die aktuellen Werte eines benutzerdefinierten Felds basierend auf dem angegebenen Bereich abrufen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Benutzerdefinierte Feldwerte abrufen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Benutzerdefinierte Feldwerte abrufen bietet die folgenden Ausgaben:

JSON-Ergebnis

Im folgenden Beispiel sehen Sie die JSON-Ausgabe, die bei Verwendung der Aktion Benutzerdefinierte Feldwerte abrufen zurückgegeben wird:

[{
   "Case": {
       "Case Custom Field Name 1": "Updated Custom Field Value",
       "Case Custom Field Name 2": "Updated Custom Field Value"
   },
   "Alert": {
       "Alert Custom Field Name 1": "Updated Custom Field Value",
       "Alert Custom Field Name 2": "Updated Custom Field Value"
   }
}]

Ausgabenachrichten

Die Aktion Benutzerdefinierte Feldwerte abrufen kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Benutzerdefinierte Feldwerte abrufen verwendet wird:

Bereichskontextwert abrufen

Mit der Aktion Get Scope Context Value (Kontextwert für Bereich abrufen) können Sie einen Wert aus der Google SecOps-Datenbank abrufen, der unter einem angegebenen Schlüssel und Kontext gespeichert ist.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Get Scope Context Value (Kontextwert für Bereich abrufen) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Get Scope Context Value (Kontextwert für Bereich abrufen) bietet die folgenden Ausgaben:

Tabelle „Fall-Repository“

Mit der Aktion Get Scope Context Value (Kontextwert für Bereich abrufen) kann die folgende Tabelle generiert werden:

Tabellenname: SCOPE

Tabellenspalten:

• Schlüssel
• Wert

Ausgabenachrichten

Die Aktion Get Scope Context Value kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Scope Context Value (Kontextwert für Bereich abrufen) verwendet wird:

Ähnliche Anfragen abrufen

Mit der Aktion Get Similar Cases können Sie nach ähnlichen Anfragen suchen und deren IDs zurückgeben.

Die Aktion wendet den logischen Operator AND auf die Parameter Rule Generator, Port, Category Outcome, Entity Identifier, Include Open Cases und Include Closed Cases an, um nach Fällen zu filtern, die allen angegebenen Kriterien entsprechen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Get Similar Cases sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Get Similar Cases (Ähnliche Kundenservicetickets abrufen) bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Similar Cases (Ähnliche Fälle abrufen) empfangen wird:

{
  "results": [{
    "id": 23874, 
    "name": "Malware", 
    "tags": ["hi", "Simulated Case"], 
    "start time": "2024-09-25 05:43:41.999000+00:00", 
    "start time unix": 1727243021999, 
    "last modified": "2025-06-19 13:24:01.062000+00:00", 
    "priority": "Informative", 
    "assigned user": "@Tier1", 
    "matching_criteria": {
        "ruleGenerator": true, 
        "port": true, 
        "outcome": true, 
        "entities": true
      }, 
    "matched_entities": [
      {"entity": "INSTANCE-1", "type": "HOSTNAME", "isSuspicious": false}, 
      {"entity": "10.150.0.3", "type": "ADDRESS", "isSuspicious": false}, {"entity": "172.17.0.1", "type": "ADDRESS", "isSuspicious": false}, {"entity": "VANSHIKAVW_GOOGLE_COM", "type": "USERUNIQNAME", "isSuspicious": false}, 
      {"entity": "CURL", "type": "PROCESS", "isSuspicious": false}, {"entity": "EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}, 
      {"entity": "3395856CE81F2B7382DEE72602F798B642F14140", "type": "FILEHASH", "isSuspicious": false}, 
      {"entity": "34.85.128.214", "type": "ADDRESS", "isSuspicious": false}, 
      {"entity": "/HOME/VANSHIKAVW_GOOGLE_COM/EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}
      ], 
      "status": "Open"}], 
      "stats": 
      {"Malicious": 0.0, "Is Important": 0.0, "Is Incident": 0.0, "Status Open": 100.0}, 
      "platform_url": "https://soarapitest.backstory.chronicle.security/"
}

Ausgabenachrichten

Die Aktion Get Similar Cases (Ähnliche Fälle abrufen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Similar Cases (Ähnliche Fälle abrufen) verwendet wird:

Anleitung

Mit der Aktion Anleitung können Sie einem Analysten direkt im Fall eine Anleitung geben.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Anleitung sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Anleitung bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Add Vote To Entity kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Anweisung aufgeführt:

Ist in benutzerdefinierter Liste

Mit der Aktion Is In Custom List (Ist in benutzerdefinierter Liste enthalten) können Sie prüfen, ob eine Entität in einer bestimmten benutzerdefinierten Liste vorhanden ist.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Is In Custom List sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Is In Custom List (Ist in benutzerdefinierter Liste) gibt die folgenden Ausgaben zurück:

Ausgabenachrichten

Die Aktion Is In Custom List (Ist in benutzerdefinierter Liste) kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Is In Custom List (Ist in benutzerdefinierter Liste) verwendet wird:

Als wichtig markieren

Verwenden Sie die Aktion Als wichtig markieren, um den Fall als wichtig zu markieren.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Als wichtig markieren bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Als wichtig markieren kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Als wichtig markieren verwendet wird:

Open Web-URL

Mit der Aktion Web-URL öffnen können Sie einen Browserlink generieren.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Open Web Url sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Web-URL öffnen bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Open Web Url (Web-URL öffnen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Open Web Url verwendet wird:

Benachrichtigungs-SLA pausieren

Mit der Aktion Benachrichtigungs-SLA pausieren können Sie den SLA-Timer (Service Level Agreement) für die Benachrichtigung pausieren.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Benachrichtigungs-SLA pausieren sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Benachrichtigungs-SLA pausieren gibt die folgenden Ausgaben zurück:

Ausgabenachrichten

Die Aktion Benachrichtigungs-SLA pausieren kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Pause Alert SLA verwendet wird:

SLA für Supportanfrage pausieren

Mit der Aktion Pause Case SLA (SLA für Fall pausieren) können Sie den SLA-Timer (Service Level Agreement) für den Fall pausieren.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion SLA für Supportanfrage pausieren sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion SLA für Supportanfrage pausieren bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion SLA für Supportanfrage pausieren kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Pause Case SLA verwendet wird:

Zulässige Benachrichtigungszeit

Mit der Aktion Zulässige Benachrichtigungszeit können Sie prüfen, ob die Startzeit der Benachrichtigung den vom Nutzer definierten Zeitbedingungen entspricht.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Zulässige Benachrichtigungszeit sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Zulässige Benachrichtigungszeit liefert die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Permitted Alert Time kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Zulässige Benachrichtigungszeit verwendet wird:

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zu Siemplify zu testen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:

Vorfall melden

Verwenden Sie die Aktion Vorfall melden, um einen True-Positive-Fall als Critical zu markieren und den Fallvorfall zu melden.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Raise Incident sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Vorfall melden bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Raise Incident (Vorfall melden) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Raise Incident verwendet wird:

Tag entfernen

Mit der Aktion Tag entfernen können Sie Tags aus dem Fall entfernen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Tag entfernen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Tag entfernen bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Remove Tag kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Tag entfernen verwendet wird:

Aus benutzerdefinierter Liste entfernen

Mit der Aktion Aus benutzerdefinierter Liste entfernen können Sie Entitäten, die mit einer Benachrichtigung verknüpft sind, aus einer benutzerdefinierten Listenkategorie entfernen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Aus benutzerdefinierter Liste entfernen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Aus benutzerdefinierter Liste entfernen bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Aus benutzerdefinierter Liste entfernen kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Aus benutzerdefinierter Liste entfernen aufgeführt:

Benachrichtigungs-SLA fortsetzen

Mit der Aktion Benachrichtigungs-SLA fortsetzen können Sie den SLA-Timer (Service Level Agreement) für die Benachrichtigung reaktivieren und neu starten.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Benachrichtigungs-SLA fortsetzen bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Benachrichtigungs-SLA fortsetzen kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Resume Alert SLA verwendet wird:

SLA für Supportanfage fortsetzen

Mit der Aktion SLA für Supportanfrage fortsetzen können Sie den SLA-Timer (Service Level Agreement) für die Supportanfrage reaktivieren und neu starten.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion SLA für Supportanfrage fortsetzen bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Resume Case SLA kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Resume Case SLA verwendet wird:

Benachrichtigungs-SLA festlegen

Mit der Aktion Set Alert SLA (SLA für Benachrichtigung festlegen) können Sie den SLA-Timer für die Benachrichtigung festlegen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Set Alert SLA sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion SLA für Benachrichtigung festlegen bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Set Alert SLA kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Set Alert SLA verwendet wird:

SLA für Supportanfrage festlegen

Verwenden Sie die Aktion Set Case SLA (SLA für Fall festlegen), um die SLA für den Fall festzulegen.

Diese Aktion hat die höchste Priorität und überschreibt die für den jeweiligen Fall definierte bestehende SLA.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Set Case SLA sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Set Case SLA (Fall-SLA festlegen) bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Search ASM Issues kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Set Case SLA verwendet wird:

Benutzerdefinierte Felder festlegen

Mit der Aktion Benutzerdefinierte Felder festlegen können Sie Werte für benutzerdefinierte Felder festlegen.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Benutzerdefinierte Felder festlegen sind die folgenden Parameter erforderlich:

    {
      "Custom Field Name 1":"Custom Field Value 1",
      "Custom Field Name 2":"Custom Field Value 2"
    }

Aktionsausgaben

Die Aktion Benutzerdefinierte Felder festlegen bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Benutzerdefinierte Felder festlegen empfangen wird:

{
  "Custom Field Name": "Updated Custom Field Value",
  "Custom Field Name": "Updated Custom Field Value",
}

Ausgabenachrichten

Die Aktion Benutzerdefinierte Felder festlegen kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Benutzerdefinierte Felder festlegen verwendet wird:

Risikobewertung festlegen

Verwenden Sie die Aktion Risikobewertung festlegen, um die Risikobewertung des Falls zu aktualisieren.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Risikoindex festlegen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Risikobewertung festlegen bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Risikobewertung festlegen kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Risikobewertung festlegen verwendet wird:

Kontextwert für Bereich festlegen

Mit der Aktion Set Scope Context Value (Kontextwert für Bereich festlegen) können Sie einen Wert für einen Schlüssel festlegen, der in der Google SecOps-Datenbank gespeichert ist.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Set Scope Context Value (Kontextwert für Bereich festlegen) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Set Scope Context Value (Kontextwert für Bereich festlegen) bietet die folgenden Ausgaben:

Ausgabenachrichten

Die Aktion Set Scope Context Value (Kontextwert für Bereich festlegen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Set Scope Context Value verwendet wird:

Fallbeschreibung aktualisieren

Verwenden Sie die Aktion Update Case Description (Vorgangsbeschreibung aktualisieren), um die Vorgangsbeschreibung zu aktualisieren.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Update Case Description sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Update Case Description (Beschreibung der Anfrage aktualisieren) gibt die folgenden Ausgaben zurück:

Ausgabenachrichten

Die Aktion Update Case Description (Vorgangsbeschreibung aktualisieren) kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Update Case Description (Vorgangsbeschreibung aktualisieren) verwendet wird:

Auf benutzerdefinierte Felder warten

Mit der Aktion Auf benutzerdefinierte Felder warten können Sie die Ausführung des Playbooks anhalten, bis die Werte für benutzerdefinierte Felder verfügbar sind.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Auf benutzerdefinierte Felder warten sind die folgenden Parameter erforderlich:

{
  "Custom Field Name 1": "Custom Field Value 1",
  "Custom Field Name 2": "Custom Field Value 2"
}
    

Aktionsausgaben

Die Aktion Auf benutzerdefinierte Felder warten gibt die folgenden Ausgaben zurück:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion Auf benutzerdefinierte Felder warten empfangen wird:

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

Ausgabenachrichten

Die Aktion Auf benutzerdefinierte Felder warten kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Auf benutzerdefinierte Felder warten verwendet wird:

Jobs

Weitere Informationen zu Jobs finden Sie unter Neuen Job konfigurieren und Erweiterte Planung.

Siemplify – Actions Monitor

Mit dem Job Siemplify – Actions Monitor können Sie Benachrichtigungen zu Aktionen erhalten, die in den letzten drei Stunden mindestens dreimal fehlgeschlagen sind.

Jobparameter

Für den Job Siemplify – Actions Monitor sind die folgenden Parameter erforderlich:

Siemplify – Cases Collector DB

Mit dem Job Siemplify – Cases Collector DB können Sie Sicherheitsvorgänge von einem bestimmten Publisher abrufen und verarbeiten.

Jobparameter

Für den Job Siemplify - Cases Collector DB sind die folgenden Parameter erforderlich:

Siemplify – Logs Collector

Mit dem Job Siemplify – Logs Collector können Sie Logs von einem angegebenen Publisher abrufen und verarbeiten.

Job-Eingaben

Für den Job Siemplify – Logs Collector sind die folgenden Parameter erforderlich:

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten