Siemplify in Google SecOps einbinden

In diesem Dokument wird beschrieben, wie Sie Siemplify in Google Security Operations (Google SecOps) einbinden.

Integrationsversion: 94.0

Anwendungsfälle

Die Siemplify-Integration kann für die folgenden Anwendungsfälle verwendet werden:

• Phishing-Untersuchung: Mit Google SecOps-Funktionen können Sie den Prozess der Analyse von Phishing-E-Mails, des Extrahierens von Indikatoren für Manipulationen (Indicators of Compromise, IOCs) und des Anreicherns mit Threat Intelligence automatisieren.

• Malware-Eindämmung:Mit den Google SecOps-Funktionen können Sie infizierte Endpunkte automatisch isolieren, Scans starten und schädliche Dateien bei Erkennung von Malware unter Quarantäne stellen.

• Schwachstellenmanagement:Mit den Google SecOps-Funktionen können Sie Schwachstellenscans orchestrieren, Schwachstellen anhand des Risikos priorisieren und automatisch Tickets für die Behebung erstellen.

• Suche nach Bedrohungen:Mit Google SecOps-Funktionen können Sie die Ausführung von Suchanfragen nach Bedrohungen in verschiedenen Sicherheitstools und Datasets automatisieren.

• Triage von Sicherheitswarnungen:Mit den Funktionen von Google SecOps lassen sich Sicherheitswarnungen automatisch mit Kontextinformationen anreichern, mit anderen Ereignissen in Beziehung setzen und nach Schweregrad priorisieren.

• Reaktion auf Vorfälle:Mit den Funktionen von Google SecOps können Sie den gesamten Prozess der Reaktion auf Vorfälle orchestrieren, von der ersten Erkennung bis zur Eindämmung und Beseitigung.

• Compliance-Berichte:Mit Google SecOps-Funktionen lassen sich die Erhebung und Analyse von Sicherheitsdaten für Compliance-Berichte automatisieren.

Integrationsparameter

Für die Siemplify-Integration sind die folgenden Parameter erforderlich:

Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.

Aktionen

Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen über „Mein Arbeitsbereich“ bearbeiten und Manuelle Aktion ausführen.

Entitäts-Insight hinzufügen

Mit der Aktion Add Entity Insight (Entität-Insight hinzufügen) können Sie der Zielentität von Google SecOps in Siemplify einen Insight hinzufügen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Add Entity Insight sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Add Entity Insight (Statistik für Entität hinzufügen) gibt die folgenden Ausgaben zurück:

Ausgabemeldungen

Die Aktion Add Entity Insight kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add Entity Insight verwendet wird:

Allgemeinen Insight hinzufügen

Verwenden Sie die Aktion Allgemeinen Insight hinzufügen, um dem Fall einen allgemeinen Insight hinzuzufügen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Add General Insight sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Allgemeine Statistik hinzufügen bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Add General Insight kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add General Insight verwendet wird:

Ähnlichen Fällen Tags hinzufügen

Mit der Aktion Add Tags To Similar Cases (Tags zu ähnlichen Fällen hinzufügen) können Sie ähnlichen Fällen Tags hinzufügen.

Um ähnliche Fälle zu finden, wird in der Aktion die Funktion siemplify.get_similar_cases() mit den abgerufenen Parametern verwendet, die eine Liste von Fall-IDs zurückgibt.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Add Tags To Similar Cases sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Tags zu ähnlichen Fällen hinzufügen bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Tags zu ähnlichen Fällen hinzufügen kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add Tags To Similar Cases (Ähnlichen Anfragen Tags hinzufügen) verwendet wird:

Zur benutzerdefinierten Liste hinzufügen

Mit der Aktion Zur benutzerdefinierten Liste hinzufügen können Sie einer kategorisierten benutzerdefinierten Liste eine Kennung für ein Rechtssubjekt hinzufügen und zukünftige Vergleiche in anderen Aktionen durchführen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Zur benutzerdefinierten Liste hinzufügen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Benutzerdefinierter Liste hinzufügen bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Zur benutzerdefinierten Liste hinzufügen kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Zur benutzerdefinierten Liste hinzufügen aufgeführt:

Fall zuweisen

Mit der Aktion Fall zuweisen können Sie einen Fall einem bestimmten Nutzer oder einer bestimmten Nutzergruppe zuweisen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Fall zuweisen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Fall zuweisen bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Zur benutzerdefinierten Liste hinzufügen kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Fall zuweisen aufgeführt:

Playbook an Benachrichtigung anhängen

Mit der Aktion Playbook an Benachrichtigung anhängen können Sie einer Benachrichtigung ein bestimmtes Playbook anhängen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Playbook an Benachrichtigung anhängen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Playbook an Benachrichtigung anhängen bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Search Graphs kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Playbook an Benachrichtigung anhängen verwendet wird:

Kommentar zur Anfrage

Mit der Aktion Fallkommentar können Sie dem Fall, in dem die aktuelle Benachrichtigung gruppiert ist, einen Kommentar hinzufügen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Fallkommentar sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Case Comment (Fallkommentar) bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Add Vote To Entity (Stimme für Entität hinzufügen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Case Comment aufgeführt:

Tag für Supportanfrage

Mit der Aktion Case Tag (Vorgangstag) können Sie dem Vorgang, in den die aktuelle Benachrichtigung gruppiert ist, ein Tag hinzufügen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Case Tag sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Case Tag (Fall-Tag) bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Case Tag kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Case Tag verwendet wird:

Benachrichtigungspriorität ändern

Mit der Aktion Benachrichtigungspriorität ändern können Sie die Priorität einer Benachrichtigung in einem Fall aktualisieren.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Benachrichtigungspriorität ändern sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Benachrichtigungspriorität ändern bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Add Vote To Entity (Stimme für Entität hinzufügen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Change Alert Priority (Benachrichtigungspriorität ändern) verwendet wird:

Fallphase ändern

Verwenden Sie die Aktion Fallphase ändern, um die Fallphase zu ändern.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Change Case Stage (Fallstatus ändern) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Change Case Stage (Fallstatus ändern) bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Add Vote To Entity (Stimme für Entität hinzufügen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Change Case Stage (Fallstatus ändern) verwendet wird:

Priorität ändern

Mit der Aktion Priorität ändern können Sie die Priorität des untersuchten Falls aktualisieren.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Priorität ändern sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Priorität ändern liefert die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Add Vote To Entity (Stimme für Entität hinzufügen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Change Priority (Priorität ändern) verwendet wird:

Benachrichtigung schließen

Verwenden Sie die Aktion Benachrichtigung schließen, um die Benachrichtigung zu schließen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Benachrichtigung schließen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Benachrichtigung schließen gibt die folgenden Ausgaben zurück:

Ausgabemeldungen

Die Aktion Add Vote To Entity (Stimme für Entität hinzufügen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Close Alert verwendet wird:

Fall schließen

Verwenden Sie die Aktion Fall schließen, um den Fall zu schließen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Close Case sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Close Case (Vorgang schließen) bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Add Vote To Entity (Stimme für Entität hinzufügen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Close Case verwendet wird:

Entität erstellen

Mit der Aktion Entität erstellen können Sie eine neue Entität erstellen und sie einer Benachrichtigung hinzufügen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Create Entity (Entität erstellen) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Create Entity (Entität erstellen) gibt Folgendes aus:

Ausgabemeldungen

Die Aktion Create Entity (Entität erstellen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Create Entity aufgeführt:

Gemini-Zusammenfassung für Anfragen erstellen

Mit der Aktion Gemini-Fallzusammenfassung erstellen können Sie eine neue Gemini-Fallzusammenfassung erstellen und einer Benachrichtigung hinzufügen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Gemini-Zusammenfassung für Kundenserviceticket erstellen liefert die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die beim Verwenden der Aktion Create Gemini Case Summary (Gemini-Zusammenfassung für Kundenserviceticket erstellen) empfangen wird:

{
  "summary": "On the Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214), user vanshikavw_google_com initiated the process curl (SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140) to create the malware file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.\n*  VirusTotal identifies the SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 as a virus.eicar/test.\n*  CURL is associated with multiple actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961.\n*  CURL is known to use MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588.\n*  A GTI MALWARE search did not find any information about eicar_test_vanshikavw-test-new.\n*  A GTI IP_ADDRESS search did not find any information about 10.150.0.3 or 34.85.128.214.", 
  "next_steps": ["Isolate instance-1 to prevent any potential lateral movement or further compromise of the network, as the curl process is associated with multiple threat actors.", 
  "Investigate the user account vanshikavw_google_com to determine if the user's credentials have been compromised or if the user initiated the curl process intentionally, as the curl process is associated with multiple threat actors.", 
  "Analyze the network traffic to and from the IP addresses 10.150.0.3 and 34.85.128.214 for any suspicious communication patterns, as the curl process is associated with multiple threat actors.", 
  "Examine the process execution logs on instance-1 for any other unusual or unauthorized activities, as the curl process is associated with multiple threat actors.", 
  "Review the configuration of the Linux agent on instance-1 to ensure that it is properly secured and that no unauthorized modifications have been made, as the curl process is associated with multiple threat actors."], 
  "reasons": ["The case involves a Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214) where user vanshikavw_google_com initiated the process curl to create the file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.", 
  "The SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 of the curl process is identified by VirusTotal as virus.eicar/test, indicating it is a known test virus.", 
  "The process CURL is associated with multiple threat actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961, suggesting a potential link to malicious activity.", 
  "CURL is known to use various MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588, indicating a wide range of potential malicious behaviors.", 
  "The file eicar_test_vanshikavw-test-new was not found in GTI MALWARE searches, and the IP addresses 10.150.0.3 and 34.85.128.214 were not found in GTI IP_ADDRESS searches."]}

Ausgabemeldungen

Die Aktion Create Gemini Case Summary kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Gemini-Zusammenfassung für Kundenserviceticket erstellen verwendet wird:

Entitätseigenschaften erstellen oder aktualisieren

Mit der Aktion Create Or Update Entity Properties (Entitätseigenschaften erstellen oder aktualisieren) können Sie Eigenschaften für Entitäten im Entitätsbereich erstellen oder ändern.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Create Or Update Entity Properties (Entitätseigenschaften erstellen oder aktualisieren) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Create Or Update Entity Properties (Entitätseigenschaften erstellen oder aktualisieren) bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Add Vote To Entity (Stimme für Entität hinzufügen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Create Or Update Entity Properties verwendet wird:

Falldetails abrufen

Mit der Aktion Get Case Details (Falldetails abrufen) können Sie alle Daten aus einem Fall abrufen, einschließlich Kommentare, Informationen zu Entitäten, Statistiken, ausgeführte Playbooks, Benachrichtigungsinformationen und Ereignisse.

Diese Aktion wird nicht für Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Get Case Details (Vorgangsdetails abrufen) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Get Case Details (Anfrage-Details abrufen) gibt die folgenden Ausgaben zurück:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Case Details (Vorgangsdetails abrufen) empfangen wird:

{
"id": 24879,
"creationTimeUnixTimeInMs": 1750862500562,
"modificationTimeUnixTimeInMs": 1750862500562,
"name": "Malware",
"priority": -1,
"isImportant": false,
"isIncident": false,
"startTimeUnixTimeInMs": 1727243021999,
"endTimeUnixTimeInMs": 1727243022479,
"assignedUser": "@Tier1",
"description": null,
"isTestCase": true,
"type": 1,
"stage": "Triage",
"environment": "Default Environment",
"status": 1,
"incidentId": null,
"tags": ["hi", "Simulated Case"],
"alertCards": [{
  "id": 172354,
  "creationTimeUnixTimeInMs": 1750862500651,
  "modificationTimeUnixTimeInMs": 1750862500651,
  "identifier": "EICAR_TEST_VANSHIKAVW-TEST-NEW0CC43705-04A7-43FD-88CD-B3E7FECA881D",
  "status": 0,
  "name": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "priority": -1,
  "workflowsStatus": 1,
  "slaExpirationUnixTime": null,
  "slaCriticalExpirationUnixTime": null,
  "startTime": 1727243021999,
  "endTime": 1727243022479,
  "alertGroupIdentifier": "MalwareSFBrxjAXvKJsJyKe5iQalf00zrv/QwX966dRoEyP2eA=_8cc160b5-7039-421c-926c-1a98073f11d2",
  "eventsCount": 3,
  "title": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "ruleGenerator": "Malware",
  "deviceProduct": "SentinelOneV2",
  "deviceVendor": "SentinelOneV2",
  "playbookAttached": "Testing",
  "playbookRunCount": 1,
  "isManualAlert": false,
  "sla": {
    "slaExpirationTime": null,
    "criticalExpirationTime": null,
    "expirationStatus": 2,
    "remainingTimeSinceLastPause": null
    },
  "fieldsGroups": [],
  "sourceUrl": null,
  "sourceRuleUrl": null,
  "siemAlertId": null,
  "relatedCases": [],
  "lastSourceUpdateUnixTimeInMs": null,
  "caseId": 24879,
  "nestingDepth": 0
  }],
"isOverflowCase": false,
"isManualCase": false,
"slaExpirationUnixTime": null,
"slaCriticalExpirationUnixTime": null,
"stageSlaExpirationUnixTimeInMs": null,
"stageSlaCriticalExpirationUnixTimeInMs": null,
"canOpenIncident": false,
"sla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null
  },
"stageSla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null},
  "relatedAlertTicketId": null,
  "relatedAlertCards": []
  }

Ausgabemeldungen

Die Aktion Get Case Details (Supportanfrage-Details abrufen) kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Case Details (Vorgangsdetails abrufen) verwendet wird:

Connector-Kontextwert abrufen

Verwenden Sie die Aktion Get Connector Context Value (Connector-Kontextwert abrufen), um einen Wert abzurufen, der für einen Connector-Kontext unter einem angegebenen Schlüssel in der Google SecOps-Datenbank gespeichert ist.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Get Connector Context Value sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Get Connector Context Value (Connector-Kontextwert abrufen) liefert die folgenden Ausgaben:

Tabelle „Fall-Repository“

Mit der Aktion Get Connector Context Value (Wert des Connector-Kontexts abrufen) kann die folgende Tabelle generiert werden:

Tabellenname: Connector

Tabellenspalten:

• Connector-Kennung
• Schlüssel
• Wert

Ausgabemeldungen

Die Aktion Get Connector Context Value (Wert des Connector-Kontexts abrufen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Connector Context Value (Wert des Connector-Kontexts abrufen) verwendet wird:

Werte für benutzerdefinierte Felder abrufen

Mit der Aktion Werte benutzerdefinierter Felder abrufen können Sie die aktuellen Werte des benutzerdefinierten Felds basierend auf dem angegebenen Bereich abrufen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Benutzerdefinierte Feldwerte abrufen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Benutzerdefinierte Feldwerte abrufen bietet die folgenden Ausgaben:

JSON-Ergebnis

Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Benutzerdefinierte Feldwerte abrufen empfangen wird:

[{
   "Case": {
       "Case Custom Field Name 1": "Updated Custom Field Value",
       "Case Custom Field Name 2": "Updated Custom Field Value"
   },
   "Alert": {
       "Alert Custom Field Name 1": "Updated Custom Field Value",
       "Alert Custom Field Name 2": "Updated Custom Field Value"
   }
}]

Ausgabemeldungen

Die Aktion Benutzerdefinierte Feldwerte abrufen kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Benutzerdefinierte Feldwerte abrufen verwendet wird:

Bereichskontextwert abrufen

Verwenden Sie die Aktion Get Scope Context Value (Kontextwert für Bereich abrufen), um einen Wert abzurufen, der in der Google SecOps-Datenbank unter einem angegebenen Schlüssel gespeichert ist.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Get Scope Context Value (Kontextwert für Bereich abrufen) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Get Scope Context Value (Kontextwert für Bereich abrufen) bietet die folgenden Ausgaben:

Tabelle „Fall-Repository“

Mit der Aktion Get Scope Context Value (Wert des Bereichskontexts abrufen) kann die folgende Tabelle generiert werden:

Tabellenname: SCOPE

Tabellenspalten:

• Schlüssel
• Wert

Ausgabemeldungen

Die Aktion Get Scope Context Value kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Scope Context Value (Kontextwert für Bereich abrufen) verwendet wird:

Ähnliche Anfragen abrufen

Mit der Aktion Get Similar Cases können Sie nach ähnlichen Anfragen suchen und deren IDs zurückgeben.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Get Similar Cases sind die folgenden Parameter erforderlich:

Bei der Aktion Get Similar Cases wird der logische Operator AND auf die Parameter Rule Generator, Port, Category Outcome, Entity Identifier, Include Open Cases und Include Closed Cases angewendet, um sie in derselben Suche zu verwenden.

Aktionsausgaben

Die Aktion Get Similar Cases (Ähnliche Kundenservicetickets abrufen) bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Similar Cases (Ähnliche Fälle abrufen) empfangen wird:

{
  "results": [{
    "id": 23874, 
    "name": "Malware", 
    "tags": ["hi", "Simulated Case"], 
    "start time": "2024-09-25 05:43:41.999000+00:00", 
    "start time unix": 1727243021999, 
    "last modified": "2025-06-19 13:24:01.062000+00:00", 
    "priority": "Informative", 
    "assigned user": "@Tier1", 
    "matching_criteria": {
        "ruleGenerator": true, 
        "port": true, 
        "outcome": true, 
        "entities": true
      }, 
    "matched_entities": [
      {"entity": "INSTANCE-1", "type": "HOSTNAME", "isSuspicious": false}, 
      {"entity": "10.150.0.3", "type": "ADDRESS", "isSuspicious": false}, {"entity": "172.17.0.1", "type": "ADDRESS", "isSuspicious": false}, {"entity": "VANSHIKAVW_GOOGLE_COM", "type": "USERUNIQNAME", "isSuspicious": false}, 
      {"entity": "CURL", "type": "PROCESS", "isSuspicious": false}, {"entity": "EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}, 
      {"entity": "3395856CE81F2B7382DEE72602F798B642F14140", "type": "FILEHASH", "isSuspicious": false}, 
      {"entity": "34.85.128.214", "type": "ADDRESS", "isSuspicious": false}, 
      {"entity": "/HOME/VANSHIKAVW_GOOGLE_COM/EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}
      ], 
      "status": "Open"}], 
      "stats": 
      {"Malicious": 0.0, "Is Important": 0.0, "Is Incident": 0.0, "Status Open": 100.0}, 
      "platform_url": "https://soarapitest.backstory.chronicle.security/"
}

Ausgabemeldungen

Die Aktion Get Similar Cases (Ähnliche Fälle abrufen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Similar Cases (Ähnliche Fälle abrufen) verwendet wird:

Anleitung

Mit der Aktion Anweisung können Sie Anweisungen für einen Analysten festlegen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Anweisung sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Anleitung bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Add Vote To Entity (Stimme für Entität hinzufügen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Anweisung aufgeführt:

Ist in benutzerdefinierter Liste

Mit der Aktion Ist in benutzerdefinierter Liste können Sie prüfen, ob die Entitäts-ID Teil einer angegebenen benutzerdefinierten Liste ist.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Is In Custom List sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Is In Custom List (Ist in benutzerdefinierter Liste) bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Is In Custom List (Ist in benutzerdefinierter Liste) kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Script-Ergebnisses aufgeführt, wenn die Aktion Is In Custom List verwendet wird:

Als wichtig markieren

Verwenden Sie die Aktion Als wichtig markieren, um einen Fall als wichtig zu markieren.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Als wichtig markieren bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Als wichtig markieren kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Als wichtig markieren verwendet wird:

Open Web-URL

Mit der Aktion Open Web Url (Web-URL öffnen) können Sie einen Browserlink generieren.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Open Web Url sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Open Web Url (Web-URL öffnen) bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Open Web Url (Web-URL öffnen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Web-URL öffnen verwendet wird:

Benachrichtigungs-SLA pausieren

Mit der Aktion Benachrichtigungs-SLA pausieren können Sie den SLA-Timer (Service Level Agreement) für eine bestimmte Benachrichtigung im Fall pausieren.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Benachrichtigungs-SLA pausieren sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Benachrichtigungs-SLA pausieren bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Pause Alert SLA kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Pause Alert SLA verwendet wird:

SLA für Supportanfrage pausieren

Mit der Aktion SLA für Supportanfrage pausieren können Sie den SLA-Timer (Service Level Agreement) für eine bestimmte Supportanfrage pausieren.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion SLA für Supportanfrage pausieren sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion SLA für Supportanfrage pausieren bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion SLA für Supportanfrage pausieren kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Pause Case SLA aufgeführt:

Zulässige Benachrichtigungszeit

Mit der Aktion Zulässige Benachrichtigungszeit können Sie prüfen, ob die Startzeit einer ausgewählten Benachrichtigung den benutzerdefinierten Zeitbedingungen entspricht.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Zulässige Benachrichtigungszeit sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Zulässige Benachrichtigungszeit liefert die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Permitted Alert Time kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Zulässige Benachrichtigungszeit verwendet wird:

Ping

Verwenden Sie die Aktion Ping, um die Verbindung zu testen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Ping bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:

Vorfall melden

Verwenden Sie die Aktion Vorfall melden, um einen Fallvorfall zu melden und die True-Positive-Fälle als Critical zu markieren.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Raise Incident sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Vorfall melden bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Search ASM Issues kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Raise Incident verwendet wird:

Tag entfernen

Mit der Aktion Tag entfernen können Sie Tags aus einem Fall entfernen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Tag entfernen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Tag entfernen bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Tag entfernen kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Tag entfernen verwendet wird:

Aus benutzerdefinierter Liste entfernen

Mit der Aktion Aus benutzerdefinierter Liste entfernen können Sie Entitäten, die mit einer Benachrichtigung verknüpft sind, aus einer angegebenen benutzerdefinierten Listenkategorie entfernen.

Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.

Aktionseingaben

Für die Aktion Aus benutzerdefinierter Liste entfernen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Aus benutzerdefinierter Liste entfernen bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Aus benutzerdefinierter Liste entfernen kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Aus benutzerdefinierter Liste entfernen verwendet wird:

Benachrichtigungs-SLA fortsetzen

Mit der Aktion Benachrichtigungs-SLA fortsetzen können Sie den SLA-Timer (Service Level Agreement) für eine bestimmte Benachrichtigung im Fall neu starten.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion Benachrichtigungs-SLA fortsetzen bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Benachrichtigungs-SLA fortsetzen kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Resume Alert SLA verwendet wird:

SLA für Supportanfage fortsetzen

Mit der Aktion SLA für Supportanfrage fortsetzen können Sie den SLA-Timer (Service Level Agreement) für eine bestimmte Supportanfrage neu starten.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Keine.

Aktionsausgaben

Die Aktion SLA für Supportanfrage fortsetzen bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Resume Case SLA kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Resume Case SLA verwendet wird:

Benachrichtigungs-SLA festlegen

Mit der Aktion Set Alert SLA (SLA für Benachrichtigung festlegen) können Sie den SLA-Timer für eine Benachrichtigung festlegen.

Diese Aktion hat die höchste Priorität und überschreibt das für die jeweilige Benachrichtigung definierte bestehende SLA.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Set Alert SLA sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion SLA für Benachrichtigung festlegen bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Set Alert SLA kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Set Alert SLA verwendet wird:

SLA für Supportanfrage festlegen

Mit der Aktion Set Case SLA (SLA für Fall festlegen) können Sie die SLA für einen Fall festlegen.

Diese Aktion hat die höchste Priorität und überschreibt das bestehende SLA für den jeweiligen Fall.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Set Case SLA sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Set Case SLA (Fall-SLA festlegen) bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Search ASM Issues kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Set Case SLA verwendet wird:

Benutzerdefinierte Felder festlegen

Mit der Aktion Benutzerdefinierte Felder festlegen können Sie Werte für benutzerdefinierte Felder festlegen.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Benutzerdefinierte Felder festlegen sind die folgenden Parameter erforderlich:

    {
      "Custom Field Name 1": "Custom Field Value 1",
      "Custom Field Name 2": "Custom Field Value 2"
    }
    

Aktionsausgaben

Die Aktion Benutzerdefinierte Felder festlegen bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Benutzerdefinierte Felder festlegen empfangen wird:

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

Ausgabemeldungen

Die Aktion Benutzerdefinierte Felder festlegen kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Benutzerdefinierte Felder festlegen verwendet wird:

Risikobewertung festlegen

Verwenden Sie die Aktion Risikobewertung festlegen, um die Risikobewertung eines Falls zu aktualisieren.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Risikoindex festlegen sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Risikobewertung festlegen bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Risikobewertung festlegen kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Risikobewertung festlegen verwendet wird:

Kontextwert für Bereich festlegen

Mit der Aktion Set Scope Context Value (Kontextwert für Bereich festlegen) können Sie einen Wert für einen Schlüssel festlegen, der in der Google SecOps-Datenbank gespeichert ist.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Set Scope Context Value (Kontextwert für Bereich festlegen) sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Get Scope Context Value (Kontextwert für Bereich abrufen) bietet die folgenden Ausgaben:

Ausgabemeldungen

Die Aktion Set Scope Context Value (Kontextwert für Bereich festlegen) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Set Scope Context Value verwendet wird:

Fallbeschreibung aktualisieren

Mit der Aktion Update Case Description (Vorgangsbeschreibung aktualisieren) können Sie eine Vorgangsbeschreibung aktualisieren.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Update Case Description sind die folgenden Parameter erforderlich:

Aktionsausgaben

Die Aktion Update Case Description (Beschreibung der Anfrage aktualisieren) gibt die folgenden Ausgaben zurück:

Ausgabemeldungen

Die Aktion Update Case Description (Vorgangsbeschreibung aktualisieren) kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Update Case Description (Vorgangsbeschreibung aktualisieren) verwendet wird:

Auf benutzerdefinierte Felder warten

Mit der Aktion Auf benutzerdefinierte Felder warten können Sie warten, bis Werte für benutzerdefinierte Felder verfügbar sind, bevor die Playbook-Ausführung fortgesetzt wird.

Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.

Aktionseingaben

Für die Aktion Auf benutzerdefinierte Felder warten sind die folgenden Parameter erforderlich:

    {
      "Custom Field": ""
    }
    

    {
      "Custom Field": "VALUE_1"
    }
    

    {
      "Custom Field Name 1": "Custom Field Value 1",
      "Custom Field Name 2": "Custom Field Value 2"
    }
    

Aktionsausgaben

Die Aktion Auf benutzerdefinierte Felder warten bietet die folgenden Ausgaben:

JSON-Ergebnis

Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion Auf benutzerdefinierte Felder warten empfangen wird:

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

Ausgabemeldungen

Die Aktion Auf benutzerdefinierte Felder warten kann die folgenden Ausgabemeldungen zurückgeben:

Scriptergebnis

In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Auf benutzerdefinierte Felder warten verwendet wird:

Jobs

Mit der Siemplify-Integration können Sie die folgenden Jobs verwenden:

• Siemplify – Actions Monitor
• Siemplify – Cases Collector DB
• Siemplify – Logs Collector

Siemplify – Actions Monitor

Verwenden Sie den Job Siemplify – Actions Monitor, um Benachrichtigungen für alle Aktionen zu erhalten, die in den letzten drei Stunden mindestens dreimal einzeln fehlgeschlagen sind.

Job-Eingaben

Für den Job Siemplify – Actions Monitor sind die folgenden Parameter erforderlich:

Siemplify – Cases Collector DB

Mit dem Job Siemplify – Cases Collector DB können Sie Sicherheitsvorgänge von einem bestimmten Publisher abrufen und verarbeiten.

Job-Eingaben

Für den Job Siemplify - Cases Collector DB sind die folgenden Parameter erforderlich:

Siemplify – Logs Collector

Mit dem Job Siemplify – Logs Collector können Sie Logs von einem angegebenen Publisher abrufen und verarbeiten.

Job-Eingaben

Für den Job Siemplify – Logs Collector sind die folgenden Parameter erforderlich:

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten