Integrar Siemplify con Google SecOps

Versión de integración: 94.0

En este documento se explica cómo integrar Siemplify con Google Security Operations (Google SecOps).

Casos prácticos

La integración de Siemplify puede abordar los siguientes casos prácticos:

  • Investigación de phishing: usa las funciones de Google SecOps para automatizar el proceso de análisis de correos de phishing, extraer indicadores de compromiso (IOCs) y enriquecerlos con información sobre amenazas.

  • Contención de malware: usa las funciones de Google SecOps para aislar automáticamente los endpoints infectados, iniciar análisis y poner en cuarentena los archivos maliciosos cuando se detecte malware.

  • Gestión de vulnerabilidades: usa las funciones de Google SecOps para coordinar análisis de vulnerabilidades, priorizar vulnerabilidades según el riesgo y crear automáticamente incidencias para la corrección.

  • Búsqueda de amenazas: usa las funciones de Google SecOps para automatizar la ejecución de consultas de búsqueda de amenazas en varias herramientas de seguridad y conjuntos de datos.

  • Triaje de alertas de seguridad: usa las funciones de Google SecOps para enriquecer automáticamente las alertas de seguridad con información contextual, correlacionarlas con otros eventos y priorizarlas en función de su gravedad.

  • Respuesta a incidentes: usa las funciones de Google SecOps para coordinar todo el proceso de respuesta a incidentes, desde la detección inicial hasta la contención y la erradicación.

  • Informes de cumplimiento: usa las funciones de Google SecOps para automatizar la recogida y el análisis de datos de seguridad para generar informes de cumplimiento.

Parámetros de integración

La integración de Siemplify requiere los siguientes parámetros:

Parámetro Descripción
Monitors Mail Recipients

Obligatorio.

Lista de direcciones de correo separadas por comas para la validación en los flujos de trabajo relacionados con el correo de la integración.

Esta lista se usa para definir los destinatarios del tratamiento.

El valor predeterminado es example@mail.com,example1@mail.com.
Elastic Server Address

Obligatorio.

Dirección del servidor de Elastic que se usa para conectarse a la base de datos de Siemplify.

Normalmente, se trata de la dirección de la máquina host en la que se ejecuta la instancia de Elastic.

El valor predeterminado es localhost.

Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.

Añadir estadística de entidad

Usa la acción Añadir estadística de entidad para añadir una estadística a una entidad de Google SecOps en Siemplify.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Añadir estadísticas de entidad requiere los siguientes parámetros:

Parámetro Descripción
Message

Obligatorio.

El mensaje que se va a añadir a la entidad.

Este parámetro admite elementos HTML, como los siguientes:

  • Encabezados (<h1></h1>, <h2></h2>)
  • Párrafos (<p></p>)
  • Formato del texto (<b></b>, <i></i>, <br>)
  • Enlaces (<a href="example.com"></a>).

Resultados de la acción

La acción Añadir estadística de entidad proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Añadir estadística de entidad puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Added insight with message MESSAGE to ENTITY_ID.

 La acción se ha realizado correctamente.
Error executing action "Add Entity Insight". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Añadir estadísticas de entidad:

Nombre del resultado del script Valor
is_success true o false

Añadir estadísticas generales

Usa la acción Añadir información general para añadir información general al caso.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Añadir estadística general requiere los siguientes parámetros:

Parámetro Descripción
Title

Obligatorio.

Título de la estadística.
Message

Obligatorio.

El mensaje que se va a añadir a la entidad.

Este parámetro admite elementos HTML, como los siguientes:

  • Encabezados (<h1></h1>, <h2></h2>)
  • Párrafos (<p></p>)
  • Formato del texto (<b></b>, <i></i>, <br>)
  • Enlaces (<a href="example.com"></a>).
Triggered By

Opcional.

Campo de texto libre para justificar la información valiosa y explicar por qué se ha añadido al caso.

Resultados de la acción

La acción Añadir estadística general proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Añadir estadística general puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Added insight with message MESSAGE.

 La acción se ha realizado correctamente.
Error executing action "Add General Insight". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Añadir estadística general:

Nombre del resultado del script Valor
is_success true o false

Añadir etiquetas a casos similares

Usa la acción Añadir etiquetas a casos similares para añadir etiquetas a casos similares.

Para encontrar casos similares, la acción usa la función siemplify.get_similar_cases() para obtener una lista de IDs de casos en función de un conjunto de criterios y parámetros.

El operador lógico AND se aplica a los parámetros Rule Generator, Port, Category Outcome y Entity Identifier para filtrar los casos que coincidan con todos los criterios especificados.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Añadir etiquetas a casos similares requiere los siguientes parámetros:

Parámetro Descripción
Rule Generator

Opcional.

Si se selecciona esta opción, la acción buscará casos similares mediante el generador de reglas.

Esta opción está habilitada de forma predeterminada.
Port

Opcional.

Si se selecciona, la acción busca casos similares mediante números de puerto.

Esta opción está habilitada de forma predeterminada.
Category Outcome

Opcional.

Si se selecciona esta opción, la acción buscará casos similares usando el resultado de la categoría.

Esta opción está habilitada de forma predeterminada.
Entity Identifier

Opcional.

Si se selecciona esta opción, la acción buscará casos similares mediante el identificador de la entidad.

Esta opción está habilitada de forma predeterminada.
Days Back

Obligatorio.

Número de días anteriores a la fecha actual en los que se buscarán casos similares.
Tags

Obligatorio.

Lista de etiquetas separadas por comas que se aplicarán a los casos similares encontrados.

Resultados de la acción

La acción Añadir etiquetas a casos similares proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Añadir etiquetas a casos similares puede devolver los siguientes mensajes:

Mensaje resultante Descripción del mensaje

Found NUMBER_OF_SIMILAR_CASES similar cases. Successfully added tags: TAG_NAMES to cases CASE_IDS

 La acción se ha realizado correctamente.
Error executing action "Add Tags To Similar Cases". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Añadir etiquetas a casos similares:

Nombre del resultado del script Valor
SimilarCasesIds Lista de IDs de casos similares.

Añadir a lista personalizada

Usa la acción Añadir a lista personalizada para añadir un identificador de entidad a una lista personalizada categorizada y realizar comparaciones futuras en otras acciones.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Añadir a lista personalizada requiere los siguientes parámetros:

Parámetro Descripción
Category

Obligatorio.

Nombre de la categoría de lista personalizada a la que se añadirá el identificador de entidad.

Resultados de la acción

La acción Añadir a lista personalizada proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Añadir a lista personalizada puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

The alert's entities ENTITY_IDS were added to custom list category: CATEGORY.

 La acción se ha realizado correctamente.
Error executing action "Add to Custom List". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Añadir a lista personalizada:

Nombre del resultado del script Valor
is_success true o false

Asignación de casos

Usa la acción Asignar caso para asignar el caso a un usuario o grupo de usuarios específico.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Asignar caso requiere los siguientes parámetros:

Parámetro Descripción
Assigned User

Obligatorio.

El usuario o grupo de usuarios al que se asignará el caso.

Resultados de la acción

La acción Asignar caso proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Añadir a lista personalizada puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

The case was successfully assigned to ASSIGNED_USER.

 La acción se ha realizado correctamente.
Error executing action "Assign Case". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Asignar caso:

Nombre del resultado del script Valor
is_success true o false

Adjuntar una guía a una alerta

Usa la acción Adjuntar guía a alerta para adjuntar una guía específica a la alerta.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Adjuntar guía a alerta requiere los siguientes parámetros:

Parámetro Descripción
Playbook Name

Obligatorio.

Nombre de la guía que se va a adjuntar a la alerta actual.
Allow Duplicates

Opcional.

Si se selecciona, la guía se puede adjuntar a la alerta más de una vez.

Esta opción está habilitada de forma predeterminada.

Resultados de la acción

La acción Adjuntar guía a alerta proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Buscar gráficos puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully attached the PLAYBOOK_NAME playbook to the alert CURRENT_ALERT_NAME.

 La acción se ha realizado correctamente.
Error executing action "Attach Playbook to Alert". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Asociar runbook a alerta:

Nombre del resultado del script Valor
Resultado de secuencia de comandos true o false

Comentario del caso

Usa la acción Comentario del caso para añadir un comentario al caso en el que se agrupa la alerta actual.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Comentario del caso requiere los siguientes parámetros:

Parámetro Descripción
Comment

Obligatorio.

El comentario que se va a añadir al caso.

Resultados de la acción

La acción Comentario del caso proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Añadir voto a entidad puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Comment added to case: CASE_COMMENT.

 La acción se ha realizado correctamente.
Error executing action "Case Comment". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Comentario del caso:

Nombre del resultado del script Valor
SuccessStatus true o false

Etiqueta de caso

Usa la acción Etiqueta de caso para añadir una etiqueta al caso en el que se agrupa la alerta actual.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Etiqueta de caso requiere los siguientes parámetros:

Parámetro Descripción
Tag

Obligatorio.

La etiqueta que se va a añadir al caso.

Resultados de la acción

La acción Etiqueta de caso proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Etiqueta de caso puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

The tag TAG_NAME was added to the case

 La acción se ha realizado correctamente.
Error executing action "Add Vote To Entity". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Etiqueta de caso:

Nombre del resultado del script Valor
is_success true o false

Cambiar prioridad de alerta

Usa la acción Cambiar prioridad de alerta para actualizar la prioridad de una alerta en un caso.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Cambiar prioridad de alerta requiere los siguientes parámetros:

Parámetro Descripción
Alert Priority

Obligatorio.

La nueva prioridad de la alerta.

Si la prioridad de la alerta se actualiza y es más alta que la prioridad del caso, la prioridad del caso se actualizará automáticamente para que coincida con la nueva prioridad más alta.

Estos son los valores posibles:

  • Informative
  • Low
  • Medium
  • High
  • Critical

Resultados de la acción

La acción Cambiar prioridad de alerta proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Añadir voto a entidad puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

The alert priority was set to NEW_PRIORITY_LEVEL.

 La acción se ha realizado correctamente.
Error executing action "Change Alert Priority". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Cambiar prioridad de alerta:

Nombre del resultado del script Valor
Resultado de secuencia de comandos true o false

Cambiar fase del caso

Usa la acción Cambiar fase del caso para cambiar la fase del caso.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Cambiar fase del caso requiere los siguientes parámetros:

Parámetro Descripción
Stage

Obligatorio.

La fase a la que se va a mover el caso.

Estos son los valores posibles:

  • Triage
  • Assessment
  • Investigation
  • Incident
  • Improvement
  • Research

Resultados de la acción

La acción Cambiar fase del caso proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Añadir voto a entidad puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Case stage was successfully changed to NEW_CASE_STAGE.

 La acción se ha realizado correctamente.
Error executing action "Change Case Stage". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Cambiar a mayúsculas y minúsculas:

Nombre del resultado del script Valor
Resultado de secuencia de comandos true o false

Cambiar prioridad

Usa la acción Cambiar prioridad para cambiar la prioridad del caso.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Cambiar prioridad requiere los siguientes parámetros:

Parámetro Descripción
Priority

Obligatorio.

La prioridad que se debe asignar al caso.

Estos son los valores posibles:

  • Informative
  • Low
  • Medium
  • High
  • Critical

Resultados de la acción

La acción Cambiar prioridad proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Añadir voto a entidad puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

The case priority was set to NEW_CASE_PRIORITY

 La acción se ha realizado correctamente.
Error executing action "Close Alert". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Cambiar prioridad:

Nombre del resultado del script Valor
Resultado de secuencia de comandos true o false

Cerrar alerta

Usa la acción Cerrar alerta para cerrar la alerta.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Cerrar alerta requiere los siguientes parámetros:

Parámetro Descripción
Reason

Obligatorio.

Clasificación principal del cierre de la alerta.

Estos son los valores posibles:

  • Malicious
  • NotMalicious
  • Maintenance
  • Inconclusive
Root Cause

Obligatorio.

La explicación detallada del problema técnico que ha provocado la alerta.
Comment

Obligatorio.

Las notas, el resumen de la investigación o el contexto adicional para el cierre de la alerta.
Assign to User

Opcional.

Un usuario al que asignar la alerta después de que se haya cerrado.
Tags

Opcional.

Lista de etiquetas separadas por comas que se adjuntarán a la alerta para clasificarla, filtrarla y poder buscarla en el futuro.

Resultados de la acción

La acción Cerrar alerta proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Añadir voto a entidad puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

The alert was closed. Root Cause: ROOT_CAUSE Comment: ALERT_COMMENT Reason: REASON

 La acción se ha realizado correctamente.
Error executing action "Close Alert". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Cerrar alerta:

Nombre del resultado del script Valor
StatusResult true o false

Cerrar caso

Usa la acción Cerrar caso para cerrarlo.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Cerrar caso requiere los siguientes parámetros:

Parámetro Descripción
Reason

Obligatorio.

Clasificación principal del cierre de la alerta.

Estos son los valores posibles:

  • Malicious
  • NotMalicious
  • Maintenance
  • Inconclusive
Root Cause

Obligatorio.

Una explicación detallada del problema técnico que ha provocado la alerta.
Comment

Obligatorio.

Las notas, el resumen de la investigación o el contexto adicional para el cierre de la alerta.

Resultados de la acción

La acción Cerrar caso proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Añadir voto a entidad puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

The case was closed. Root Cause: ROOT_CAUSE Comment: REASON

 La acción se ha realizado correctamente.
Error executing action "Close Case". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Cerrar caso:

Nombre del resultado del script Valor
StatusResult true o false

Crear entidad

Usa la acción Crear entidad para crear una entidad y añadirla a una alerta.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Crear entidad requiere los siguientes parámetros:

Parámetro Descripción
Entities Identifies

Obligatorio.

Lista separada por comas de los identificadores de entidad que se van a crear en el caso, como VALUE1, VALUE2, VALUE3.
Delimiter

Opcional.

Delimitador que se usa para dividir la entrada de Entities Identifies en varios identificadores.

Si no se proporciona ningún valor, la acción trata la entrada como un identificador de entidad único.

El valor predeterminado es ,.
Entity Type

Obligatorio.

El tipo de entidad que se va a crear, como HOST NAME, USER NAME o IP Set.
Is Internal

Opcional.

Si se selecciona, la acción marca las entidades como parte de una red interna.

No está habilitada de forma predeterminada.
Is Suspicious

Opcional.

Si se selecciona esta opción, la acción marcará las entidades como sospechosas.

No está habilitada de forma predeterminada.

Resultados de la acción

La acción Crear entidad proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Crear entidad puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

ENTITY_IDS created successfully.

 La acción se ha realizado correctamente.
Error executing action "Create Entity". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Crear entidad:

Nombre del resultado del script Valor
StatusResult true o false

Crear un resumen de caso de Gemini

Usa la acción Crear resumen de caso de Gemini para crear un resumen de caso de Gemini y añadirlo a una alerta.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Crear resumen del caso de Gemini proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción Crear resumen del caso de Gemini:

{
  "summary": "On the Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214), user vanshikavw_google_com initiated the process curl (SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140) to create the malware file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.\n*  VirusTotal identifies the SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 as a virus.eicar/test.\n*  CURL is associated with multiple actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961.\n*  CURL is known to use MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588.\n*  A GTI MALWARE search did not find any information about eicar_test_vanshikavw-test-new.\n*  A GTI IP_ADDRESS search did not find any information about 10.150.0.3 or 34.85.128.214.", 
  "next_steps": ["Isolate instance-1 to prevent any potential lateral movement or further compromise of the network, as the curl process is associated with multiple threat actors.", 
  "Investigate the user account vanshikavw_google_com to determine if the user's credentials have been compromised or if the user initiated the curl process intentionally, as the curl process is associated with multiple threat actors.", 
  "Analyze the network traffic to and from the IP addresses 10.150.0.3 and 34.85.128.214 for any suspicious communication patterns, as the curl process is associated with multiple threat actors.", 
  "Examine the process execution logs on instance-1 for any other unusual or unauthorized activities, as the curl process is associated with multiple threat actors.", 
  "Review the configuration of the Linux agent on instance-1 to ensure that it is properly secured and that no unauthorized modifications have been made, as the curl process is associated with multiple threat actors."], 
  "reasons": ["The case involves a Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214) where user vanshikavw_google_com initiated the process curl to create the file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.", 
  "The SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 of the curl process is identified by VirusTotal as virus.eicar/test, indicating it is a known test virus.", 
  "The process CURL is associated with multiple threat actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961, suggesting a potential link to malicious activity.", 
  "CURL is known to use various MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588, indicating a wide range of potential malicious behaviors.", 
  "The file eicar_test_vanshikavw-test-new was not found in GTI MALWARE searches, and the IP addresses 10.150.0.3 and 34.85.128.214 were not found in GTI IP_ADDRESS searches."]
}
Mensajes de salida

La acción Crear resumen de caso de Gemini puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Case summary generation completed.

 La acción se ha realizado correctamente.
Error executing action "Create Gemini Case Summary". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se indica el valor del resultado de la secuencia de comandos al usar la acción Crear resumen de caso de Gemini:

Nombre del resultado del script Valor
is_success true o false

Crear o actualizar propiedades de entidad

Usa la acción Crear o actualizar propiedades de entidad para crear o cambiar las propiedades de las entidades del ámbito de la entidad.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Crear o actualizar propiedades de entidad requiere los siguientes parámetros:

Parámetro Descripción
Entity Field

Obligatorio.

El campo de la entidad que se va a crear o actualizar.
Field Value

Obligatorio.

Valor del campo de entidad especificado.

Resultados de la acción

La acción Crear o actualizar propiedades de entidad proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Crear o actualizar propiedades de entidad puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Property ENTITY_FIELD were changed for the following entities: ENTITY_ID.

 La acción se ha realizado correctamente.
Error executing action "Create Or Update Entity Properties". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Crear o actualizar propiedades de entidad:

Nombre del resultado del script Valor
is_success true o false

Recibir alertas de casos

Usa la acción Get Case Alerts (Obtener alertas de caso) para recuperar las alertas relacionadas con los casos especificados.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Get Case Alerts requiere los siguientes parámetros:

Parámetro Descripción
Case ID

Obligatorio.

Lista de IDs de casos separados por comas de los que la acción obtiene las alertas asociadas.
Alert ID

Opcional.

Lista de IDs de alertas separadas por comas que limita las alertas devueltas.

Este parámetro solo se usa cuando Case ID contiene valores.
Fields To Return

Opcional.

Lista separada por comas de los campos que se devolverán en el resultado JSON.

Para obtener valores anidados, usa Nested Keys Delimiter para encadenar claves anidadas e índices de listas. Por ejemplo, si el delimitador es ".": key1.nested_key1.0.nested_key2, key2, key3.1.nested_key1

Si no se proporciona ningún valor, se devuelven todos los campos.
Nested Keys Delimiter

Opcional.

El carácter que se usa para separar las claves anidadas y los índices de listas al definir los campos que se van a devolver.

Este parámetro no puede ser una coma (,).

Obtener detalles del caso

Usa la acción Obtener detalles del caso para obtener todos los datos de un caso (incluidos los comentarios, la información de la entidad, las estadísticas, las guías que se han ejecutado, la información de las alertas y los eventos).

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Obtener detalles del caso requiere los siguientes parámetros:

Parámetro Descripción
Case Id

Opcional.

ID del caso del que se van a obtener los detalles.

Si no se proporciona ningún valor, la acción usará el caso actual.
Fields to Return

Opcional.

Lista de campos separados por comas que se devolverán.

Si no se proporciona nada, se devuelven todos los campos.

Para recuperar valores anidados específicos, se puede usar el parámetro Nested Keys Delimiter para separar las claves y los índices de la lista.
Nested Keys Delimiter

Opcional.

El carácter que se usa para separar las claves anidadas al solicitar campos específicos. De esta forma, puede recuperar valores de objetos anidados.

El delimitador no puede ser una coma(,).

Resultados de la acción

La acción Obtener detalles del caso proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Get Case Details (Obtener detalles del caso):

{
"id": 24879,
"creationTimeUnixTimeInMs": 1750862500562,
"modificationTimeUnixTimeInMs": 1750862500562,
"name": "Malware",
"priority": -1,
"isImportant": false,
"isIncident": false,
"startTimeUnixTimeInMs": 1727243021999,
"endTimeUnixTimeInMs": 1727243022479,
"assignedUser": "@Tier1",
"description": null,
"isTestCase": true,
"type": 1,
"stage": "Triage",
"environment": "Default Environment",
"status": 1,
"incidentId": null,
"tags": ["hi", "Simulated Case"],
"alertCards": [{
  "id": 172354,
  "creationTimeUnixTimeInMs": 1750862500651,
  "modificationTimeUnixTimeInMs": 1750862500651,
  "identifier": "EICAR_TEST_VANSHIKAVW-TEST-NEW0CC43705-04A7-43FD-88CD-B3E7FECA881D",
  "status": 0,
  "name": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "priority": -1,
  "workflowsStatus": 1,
  "slaExpirationUnixTime": null,
  "slaCriticalExpirationUnixTime": null,
  "startTime": 1727243021999,
  "endTime": 1727243022479,
  "alertGroupIdentifier": "MalwareSFBrxjAXvKJsJyKe5iQalf00zrv/QwX966dRoEyP2eA=_8cc160b5-7039-421c-926c-1a98073f11d2",
  "eventsCount": 3,
  "title": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "ruleGenerator": "Malware",
  "deviceProduct": "SentinelOneV2",
  "deviceVendor": "SentinelOneV2",
  "playbookAttached": "Testing",
  "playbookRunCount": 1,
  "isManualAlert": false,
  "sla": {
    "slaExpirationTime": null,
    "criticalExpirationTime": null,
    "expirationStatus": 2,
    "remainingTimeSinceLastPause": null
    },
  "fieldsGroups": [],
  "sourceUrl": null,
  "sourceRuleUrl": null,
  "siemAlertId": null,
  "relatedCases": [],
  "lastSourceUpdateUnixTimeInMs": null,
  "caseId": 24879,
  "nestingDepth": 0
  }],
"isOverflowCase": false,
"isManualCase": false,
"slaExpirationUnixTime": null,
"slaCriticalExpirationUnixTime": null,
"stageSlaExpirationUnixTimeInMs": null,
"stageSlaCriticalExpirationUnixTimeInMs": null,
"canOpenIncident": false,
"sla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null
  },
"stageSla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null},
  "relatedAlertTicketId": null,
  "relatedAlertCards": []
  }
Mensajes de salida

La acción Obtener detalles del caso puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Finished executing "Get Case Details" successfully

 La acción se ha realizado correctamente.
Error executing action "Get Case Details". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener detalles del caso:

Nombre del resultado del script Valor
is_success true o false

Obtener valor de contexto de conector

Usa la acción Get Connector Context Value (Obtener valor de contexto de conector) para recuperar un valor de una clave especificada en la base de datos de Google SecOps para un contexto de conector.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Obtener valor de contexto del conector requiere los siguientes parámetros:

Parámetro Descripción
Connector Identifier

Obligatorio.

Identificador único del conector del que se va a obtener el valor de contexto.
Key Name

Obligatorio.

La clave con la que se almacena el valor del contexto.
Create Case Wall Table

Opcional.

Si se selecciona, la acción crea una tabla de panel de casos con el valor de contexto recuperado.

La tabla no se creará si el valor recuperado supera el límite de caracteres.

Esta opción está habilitada de forma predeterminada.

Resultados de la acción

La acción Obtener valor de contexto del conector proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos Disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Tabla del panel de casos

La acción Obtener valor de contexto del conector puede generar la siguiente tabla:

Nombre de la tabla: Connector

Columnas de la tabla:

  • Identificador del conector
  • Clave
  • Valor
Mensajes de salida

La acción Obtener valor de contexto de conector puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully found context value for the provided context key CONTEXT_KEY for the connector identifier CONNECTOR_IDENTIFIER.

Context value was not found for the provided context key CONTEXT_KEY and connector identifier CONNECTOR_IDENTIFIER.

Action can't return the Case Wall table as the context values are too big.

 La acción se ha realizado correctamente.
Error executing action "Get Connector Context Value". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener valor de contexto del conector:

Nombre del resultado del script Valor
is_success true o false

Obtener valores de campos personalizados

Usa la acción Obtener valores de campos personalizados para recuperar los valores actuales de un campo personalizado en función del ámbito especificado.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Obtener valores de campos personalizados requiere los siguientes parámetros:

Parámetro Descripción
Scope

Obligatorio.

Ámbito del que se van a recuperar los campos personalizados.

Estos son los valores posibles:

  • Case
  • Alert
  • All

Resultados de la acción

La acción Obtener valores de campos personalizados proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Obtener valores de campos personalizados:

[{
   "Case": {
       "Case Custom Field Name 1": "Updated Custom Field Value",
       "Case Custom Field Name 2": "Updated Custom Field Value"
   },
   "Alert": {
       "Alert Custom Field Name 1": "Updated Custom Field Value",
       "Alert Custom Field Name 2": "Updated Custom Field Value"
   }
}]
Mensajes de salida

La acción Obtener valores de campos personalizados puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully returned SCOPE custom fields.

No custom fields were found in scope SCOPE.

 La acción se ha realizado correctamente.
Error executing action "Get Custom Field Values". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener valores de campos personalizados:

Nombre del resultado del script Valor
is_success true o false

Obtener valor de contexto de ámbito

Usa la acción Get Scope Context Value (Obtener valor de contexto de ámbito) para recuperar un valor de la base de datos de Google SecOps que esté almacenado en una clave y un contexto específicos.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Obtener valor de contexto de permiso requiere los siguientes parámetros:

Parámetro Descripción
Context Scope

Obligatorio.

El ámbito de contexto del que se va a obtener el valor.

Estos son los valores posibles:

  • Not specified
  • Alert
  • Case
  • Global

El valor predeterminado es Not specified.
Key Name

Obligatorio.

La clave con la que se almacena el valor en el contexto especificado.
Create Case Wall Table

Opcional.

Si se selecciona, la acción crea una tabla de panel de casos con el valor de contexto recuperado.

La tabla no se creará si el valor recuperado supera el límite de caracteres.

Esta opción está habilitada de forma predeterminada.

Resultados de la acción

La acción Obtener valor de contexto de ámbito proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos Disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Tabla del panel de casos

La acción Obtener valor de contexto de ámbito puede generar la siguiente tabla:

Nombre de la tabla: SCOPE

Columnas de la tabla:

  • Clave
  • Valor
Mensajes de salida

La acción Obtener valor de contexto de ámbito puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully found context value for the provided context key CONTEXT_KEY with scope CONTEXT_SCOPE.

No context values were found for the provided context scope CONTEXT_SCOPE.

Context value was not found for the provided context key CONTEXT_KEY with scope CONTEXT_SCOPE.

Action can't return the Case Wall table as the context values are too big.

 La acción se ha realizado correctamente.
Error executing action "Get Scope Context Value". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Obtener valor de contexto de ámbito:

Nombre del resultado del script Valor
is_success true o false

Get Similar Cases

Usa la acción Get Similar Cases para buscar casos similares y devolver sus IDs.

La acción aplica el operador lógico AND a los parámetros Rule Generator, Port, Category Outcome, Entity Identifier, Include Open Cases y Include Closed Cases para filtrar los casos que cumplan todos los criterios especificados.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Obtener casos similares requiere los siguientes parámetros:

Parámetro Descripción
Rule Generator

Opcional.

Si se selecciona esta opción, la acción buscará casos similares mediante el generador de reglas.

Esta opción está habilitada de forma predeterminada.
Port

Opcional.

Si se selecciona, la acción busca casos similares mediante números de puerto.

Esta opción está habilitada de forma predeterminada.
Category Outcome

Opcional.

Si se selecciona esta opción, la acción buscará casos similares usando el resultado de la categoría.

Esta opción está habilitada de forma predeterminada.
Entity Identifier

Opcional.

Si se selecciona esta opción, la acción buscará casos similares mediante el identificador de la entidad.

Esta opción está habilitada de forma predeterminada.
Days Back

Obligatorio.

Número de días anteriores a la fecha actual en los que se buscará la acción.
Include Open Cases

Opcional.

Si se selecciona, la acción incluye casos abiertos en la búsqueda.

Esta opción está habilitada de forma predeterminada.
Include Closed Cases

Opcional.

Si se selecciona, la acción incluye los casos cerrados en la búsqueda.

Esta opción está habilitada de forma predeterminada.

Resultados de la acción

La acción Obtener casos similares proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Get Similar Cases (Obtener casos similares):

{
  "results": [{
    "id": 23874, 
    "name": "Malware", 
    "tags": ["hi", "Simulated Case"], 
    "start time": "2024-09-25 05:43:41.999000+00:00", 
    "start time unix": 1727243021999, 
    "last modified": "2025-06-19 13:24:01.062000+00:00", 
    "priority": "Informative", 
    "assigned user": "@Tier1", 
    "matching_criteria": {
        "ruleGenerator": true, 
        "port": true, 
        "outcome": true, 
        "entities": true
      }, 
    "matched_entities": [
      {"entity": "INSTANCE-1", "type": "HOSTNAME", "isSuspicious": false}, 
      {"entity": "10.150.0.3", "type": "ADDRESS", "isSuspicious": false}, {"entity": "172.17.0.1", "type": "ADDRESS", "isSuspicious": false}, {"entity": "VANSHIKAVW_GOOGLE_COM", "type": "USERUNIQNAME", "isSuspicious": false}, 
      {"entity": "CURL", "type": "PROCESS", "isSuspicious": false}, {"entity": "EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}, 
      {"entity": "3395856CE81F2B7382DEE72602F798B642F14140", "type": "FILEHASH", "isSuspicious": false}, 
      {"entity": "34.85.128.214", "type": "ADDRESS", "isSuspicious": false}, 
      {"entity": "/HOME/VANSHIKAVW_GOOGLE_COM/EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}
      ], 
      "status": "Open"}], 
      "stats": 
      {"Malicious": 0.0, "Is Important": 0.0, "Is Incident": 0.0, "Status Open": 100.0}, 
      "platform_url": "https://soarapitest.backstory.chronicle.security/"
}
Mensajes de salida

La acción Obtener casos similares puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Processed NUMBER_OF_CASES similar cases: CASE_IDS_LIST

 La acción se ha realizado correctamente.
Error executing action "Get Similar Cases". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se indica el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Obtener casos similares:

Nombre del resultado del script Valor
SimilarCasesIds Lista de IDs de casos similares.

Instrucción

Usa la acción Instrucción para dar instrucciones a un analista directamente en el caso.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Instruction requiere los siguientes parámetros:

Parámetro Descripción
Instruction

Obligatorio.

Las instrucciones para el analista.

Resultados de la acción

La acción Instrucción proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Añadir voto a entidad puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Please perform the following instructions: INSTRUCTION.

 La acción se ha realizado correctamente.
Error executing action "Instruction". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Instruction:

Nombre del resultado del script Valor
Resultado de secuencia de comandos true o false

Está en la lista personalizada

Usa la acción Está en lista personalizada para comprobar si una entidad existe en una lista personalizada concreta.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Está en lista personalizada requiere los siguientes parámetros:

Parámetro Descripción
Category

Obligatorio.

Nombre de la categoría de la lista personalizada que se va a buscar.

Resultados de la acción

La acción Está en lista personalizada proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Está en lista personalizada puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

This alert contains entities in the given custom list category: CATEGORY.

This alert does not contain entities in the given custom list category: CATEGORY.

 La acción se ha realizado correctamente.
Error executing action "Is In Custom List". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Está en lista personalizada:

Nombre del resultado del script Valor
ScriptResult true o false

Marcar como importante

Usa la acción Marcar como importante para marcar el caso como importante.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Marcar como importante proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Marcar como importante puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

The case was automatically marked as important.

 La acción se ha realizado correctamente.
Error executing action "Mark As Important". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Marcar como importante:

Nombre del resultado del script Valor
Resultado de secuencia de comandos true o false

URL de Open Web

Usa la acción Abrir URL web para generar un enlace de navegador.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Abrir URL web requiere los siguientes parámetros:

Parámetro Descripción
Title

Obligatorio.

El título de la URL.
URL

Obligatorio.

La URL de destino.

Resultados de la acción

La acción Abrir URL web proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Abrir URL web puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

URL_TITLE

URL_LINK

 La acción se ha realizado correctamente.
Error executing action "Open Web Url". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Abrir URL web:

Nombre del resultado del script Valor
Resultado de secuencia de comandos true o false

Pausar SLA de alerta

Usa la acción Pausar SLA de alerta para pausar el temporizador del acuerdo de nivel de servicio (SLA) de la alerta.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Pausar SLA de alerta requiere los siguientes parámetros:

Parámetro Descripción
Message

Opcional.

El motivo por el que se pausa el SLA de la alerta.

Resultados de la acción

La acción Pausar SLA de alerta proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Pausar SLA de alerta puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

The alert SLA was paused.

 La acción se ha realizado correctamente.
Error executing action "Pause Alert SLA". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Pausar alerta de SLA:

Nombre del resultado del script Valor
is_success true o false

Pausar acuerdo de nivel de servicio del caso de asistencia

Usa la acción Pausar SLA del caso para pausar el temporizador del acuerdo de nivel de servicio (SLA) del caso.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Pausar acuerdo de nivel de servicio del caso de asistencia requiere los siguientes parámetros:

Parámetro Descripción
Message

Opcional.

El motivo por el que se ha pausado el SLA del caso.

Resultados de la acción

La acción Pausar acuerdo de nivel de servicio del caso de asistencia proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Pausar acuerdo de nivel de servicio del caso de asistencia puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

The Case SLA was paused successfully.

 La acción se ha realizado correctamente.
Error executing action "Pause Case SLA". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se indica el valor de la salida del resultado de la secuencia de comandos al usar la acción Pausar SLA de caso:

Nombre del resultado del script Valor
is_success true o false

Hora de alerta permitida

Usa la acción Tiempo de alerta permitido para comprobar si la hora de inicio de la alerta cumple las condiciones de tiempo definidas por el usuario.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Tiempo de alerta permitido requiere los siguientes parámetros:

Parámetro Descripción
Timestamp Type

Opcional.

El tipo de marca de tiempo que se va a usar para la comparación.

Estos son los valores posibles:

  • Alert Start Time
  • Alert Creation Time
  • Case Creation Time

El valor predeterminado es Alert Start Time.
Permitted Start Time

Obligatorio.

Hora de inicio del periodo permitido para las alertas, como 0:00:00.
Permitted End Time

Obligatorio.

La hora de finalización del periodo permitido para las alertas, como 0:00:00.
Monday

Opcional.

Si se selecciona, la acción incluye los lunes en los días permitidos para las alertas.

No está habilitada de forma predeterminada.
Tuesday

Opcional.

Si se selecciona, la acción incluye los martes en los días permitidos para las alertas.

Esta opción está habilitada de forma predeterminada.
Wednesday

Opcional.

Si se selecciona, la acción incluye los miércoles en los días permitidos para las alertas.

Esta opción está habilitada de forma predeterminada.
Thursday

Opcional.

Si se selecciona, la acción incluye los jueves en los días permitidos para las alertas.

No está habilitada de forma predeterminada.
Friday

Opcional.

Si se selecciona, la acción incluye los viernes en los días permitidos para las alertas.

No está habilitada de forma predeterminada.
Saturday

Opcional.

Si se selecciona, la acción incluye los sábados en los días permitidos para las alertas.

No está habilitada de forma predeterminada.
Sunday

Opcional.

Si se selecciona, la acción incluye los domingos en los días permitidos para las alertas.

No está habilitada de forma predeterminada.
Input Timezone

Opcional.

Esta acción admite zonas horarias estándar, como UTC, además de zonas IANA, como America/New_York.

Si proporciona una zona IANA, la acción se ajusta automáticamente al horario de verano.

Resultados de la acción

La acción Tiempo de alerta permitido proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Permitted Alert Time puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Case Time of ALERT_TIMEis within condition parameters of between START_TIME - END_TIME on LIST_OF_PERMITTED_DAYS

 La acción se ha realizado correctamente.
Error executing action "Permitted Alert Time". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Tiempo de alerta permitido:

Nombre del resultado del script Valor
Permitted true o false

Ping

Usa la acción Ping para probar la conectividad con Siemplify.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Ping proporciona las siguientes salidas:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Ping puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Email address is syntactically correct.

 La acción se ha realizado correctamente.
Error executing action "Ping". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:

Nombre del resultado del script Valor
Resultado de secuencia de comandos true o false

Raise Incident

Use la acción Crear incidencia para marcar un caso de verdadero positivo como Critical y crear la incidencia del caso.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Raise Incident requiere los siguientes parámetros:

Parámetro Descripción
Soc Role

Opcional.

El rol de SOC de Google SecOps al que se asignará el caso.

Resultados de la acción

La acción Generar incidencia proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Raise Incident puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

The case raised to CASE_STAGE status.

 La acción se ha realizado correctamente.
Error executing action "Raise Incident". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Raise Incident (Generar incidencia):

Nombre del resultado del script Valor
Resultado de secuencia de comandos true o false

Quitar etiqueta

Usa la acción Eliminar etiqueta para quitar etiquetas de la incidencia.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Quitar etiqueta requiere los siguientes parámetros:

Parámetro Descripción
Tag

Obligatorio.

Lista de etiquetas separadas por comas que se van a eliminar de la incidencia.

Resultados de la acción

La acción Quitar etiqueta proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Quitar etiqueta puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje
Successfully removed the following tags from case CASE_ID:TAGS La acción se ha realizado correctamente.

It is not possible to remove the tag.

Error executing action "Remove Tag". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Quitar etiqueta:

Nombre del resultado del script Valor
is_success true o false

Eliminar de la lista personalizada

Usa la acción Quitar de lista personalizada para quitar entidades asociadas a una alerta de una categoría de lista personalizada.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Eliminar de lista personalizada requiere los siguientes parámetros:

Parámetro Descripción
Category

Obligatorio.

Nombre de la categoría de lista personalizada de la que se va a quitar el identificador de entidad. .

Resultados de la acción

La acción Eliminar de lista personalizada proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Eliminar de lista personalizada puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

The alert's entities ENTITY_ID were removed from custom list category: CATEGORY

The given category does not exist.

 La acción se ha realizado correctamente.
Error executing action "Remove From Custom List". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Eliminar de lista personalizada:

Nombre del resultado del script Valor
ScriptResult true o false

Reanudar SLA de alerta

Usa la acción Reanudar SLA de alerta para reactivar y reiniciar el temporizador del Acuerdo de Nivel de Servicio (SLA) de la alerta.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Reanudar SLA de alerta proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Reanudar SLA de alerta puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

The alert SLA was resumed.

 La acción se ha realizado correctamente.
Error executing action "Resume Alert SLA". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Reanudar alerta de SLA:

Nombre del resultado del script Valor
is_success true o false

Reanudar acuerdo de nivel de servicio del caso de asistencia

Usa la acción Reanudar SLA del caso para reactivar y reiniciar el temporizador del acuerdo de nivel de servicio (SLA) del caso.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Reanudar acuerdo de nivel de servicio del caso de asistencia proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Reanudar acuerdo de nivel de servicio del caso de asistencia puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

The Case SLA was resumed successfully.

 La acción se ha realizado correctamente.
Error executing action "Resume Case SLA". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Reanudar SLA de caso:

Nombre del resultado del script Valor
is_success true o false

Definir SLA de alerta

Usa la acción Definir SLA de alerta para definir el temporizador del SLA de la alerta.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Definir SLA de alerta requiere los siguientes parámetros:

Parámetro Descripción
SLA Period

Obligatorio.

Duración total del ANS antes de que se considere incumplido.

El periodo total del SLA no puede superar los 30 días.

El valor predeterminado es 5.
SLA Time Unit

Obligatorio.

Unidad de tiempo del periodo del ANS.

Estos son los valores posibles:

  • Minutes
  • Hours
  • Days

El valor predeterminado es Minutes.
SLA Time To Critical Period

Obligatorio.

Duración del SLA antes de que entre en un estado crítico.

El valor predeterminado es 4.
SLA Time To Critical Unit

Obligatorio.

Unidad de tiempo del periodo crítico del acuerdo de nivel de servicio.

Estos son los valores posibles:

  • Minutes
  • Hours
  • Days

El valor predeterminado es Minutes.

Resultados de la acción

La acción Definir SLA de alerta proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Definir SLA de alerta puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Alert ALERT_NAME of case CASE_ID was set with SLA of SLA_PERIOD SLA_TIME_UNIT and critical period of CRITICAL_PERIOD CRITICAL_TIME_UNIT.

 La acción se ha realizado correctamente.
Error executing action "Set Alert SLA". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Definir SLA de alerta:

Nombre del resultado del script Valor
is_success true o false

Definir SLA del caso

Usa la acción Definir SLA de caso para definir el SLA del caso.

Esta acción tiene la prioridad más alta y anula el acuerdo de nivel de servicio definido para el caso específico.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Definir SLA de caso requiere los siguientes parámetros:

Parámetro Descripción
SLA Period

Obligatorio.

Duración total del ANS antes de que se considere incumplido.

El periodo total del SLA no puede superar los 30 días.

El valor predeterminado es 5.
SLA Time Unit

Obligatorio.

Unidad de tiempo del periodo del ANS.

Estos son los valores posibles:

  • Minutes
  • Hours
  • Days

El valor predeterminado es Minutes.
SLA Time To Critical Period

Opcional.

Duración del SLA antes de que entre en un estado crítico.

El valor predeterminado es 4.
SLA Time To Critical Unit

Obligatorio.

Unidad de tiempo del periodo crítico del acuerdo de nivel de servicio.

Estos son los valores posibles:

  • Minutes
  • Hours
  • Days

El valor predeterminado es Minutes.

Resultados de la acción

La acción Definir SLA del caso proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Buscar problemas de ASM puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Case CASE_ID was set with SLA of SLA_PERIOD SLA_TIME_UNIT and critical period of CRITICAL_PERIOD CRITICAL_TIME_UNIT.

 La acción se ha realizado correctamente.
Error executing action "Set Case SLA". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos al usar la acción Definir SLA de caso:

Nombre del resultado del script Valor
is_success true o false

Definir campos personalizados

Use la acción Definir campos personalizados para definir valores de campos personalizados.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Definir campos personalizados requiere los siguientes parámetros:

Parámetro Descripción
Scope

Obligatorio.

El ámbito que se debe definir para los campos personalizados.

Estos son los valores posibles:

  • Case
  • Alert

El valor predeterminado es Case.
Custom Fields Data

Obligatorio.

Los valores actualizados de los campos personalizados.

Puede actualizar varios campos personalizados en una sola ejecución de acción.

El valor predeterminado es:

    {
      "Custom Field Name 1":"Custom Field Value 1",
      "Custom Field Name 2":"Custom Field Value 2"
    }
Append Values

Opcional.

Si se selecciona esta opción, la acción añade las entradas de Custom Fields Data a los valores de los campos personalizados.

Si no se selecciona, la acción sobrescribe los valores con las entradas del parámetro Custom Fields Data.

No está habilitada de forma predeterminada.

Resultados de la acción

La acción Definir campos personalizados proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción Definir campos personalizados:

{
  "Custom Field Name": "Updated Custom Field Value",
  "Custom Field Name": "Updated Custom Field Value",
}
Mensajes de salida

La acción Definir campos personalizados puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje
Successfully updated the following SCOPE custom fields: UPDATED_CUSTOM_FIELD_NAMES La acción se ha realizado correctamente.
Error executing action "Set Custom Fields". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Definir campos personalizados:

Nombre del resultado del script Valor
is_success true o false

Definir puntuación de riesgo

Usa la acción Definir puntuación de riesgo para actualizar la puntuación de riesgo del caso.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Definir puntuación de riesgo requiere los siguientes parámetros:

Parámetro Descripción
Risk Score

Obligatorio.

La puntuación de riesgo que se va a asignar al caso.

Resultados de la acción

La acción Definir puntuación de riesgo proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Definir puntuación de riesgo puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje
Successfully set Risk Score for case CASE_ID La acción se ha realizado correctamente.
Error executing action "Set Risk Score". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Definir puntuación de riesgo:

Nombre del resultado del script Valor
is_success true o false

Definir valor de contexto de alcance

Usa la acción Definir valor de contexto de ámbito para definir un valor de una clave que se almacena en la base de datos de Google SecOps.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Definir valor de contexto de ámbito requiere los siguientes parámetros:

Parámetro Descripción
Context Scope

Obligatorio.

El ámbito de contexto del que se van a recuperar los datos.

Estos son los valores posibles:

  • Not specified
  • Alert
  • Case
  • Global

El valor predeterminado es Not specified.
Key Name

Obligatorio.

Nombre de la clave de la que se va a obtener el valor correspondiente.
Key Value

Obligatorio.

Valor que se va a almacenar en la clave especificada.

Resultados de la acción

La acción Definir valor de contexto de ámbito proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Definir valor de contexto de ámbito puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje
Successfully set context value for the context key CONTEXT_KEY with scope CONTEXT_SCOPE. La acción se ha realizado correctamente.
Error executing action "Set Scope Context Value". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Definir valor de contexto de ámbito:

Nombre del resultado del script Valor
is_success true o false

Update Case Description

Usa la acción Actualizar descripción del caso para actualizar la descripción del caso.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Actualizar descripción del caso requiere los siguientes parámetros:

Parámetro Descripción
Description

Obligatorio.

La descripción que se va a definir para el caso.

Resultados de la acción

La acción Actualizar descripción del caso proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON No disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Mensajes de salida

La acción Actualizar descripción del caso puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje
Successfully updated the case description. La acción se ha realizado correctamente.
Error executing action "Update Case Description". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos al usar la acción Update Case Description (Actualizar descripción del caso):

Nombre del resultado del script Valor
is_success true o false

Esperar campos personalizados

Usa la acción Esperar campos personalizados para esperar a que se asignen valores a los campos personalizados y, así, continuar con la ejecución del cuaderno de estrategias.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Esperar campos personalizados requiere los siguientes parámetros:

Parámetro Descripción
Scope

Obligatorio.

El ámbito que se debe definir para los campos personalizados.

Estos son los valores posibles:

  • Case
  • Alert

El valor predeterminado es Case.
Custom Fields Data

Obligatorio.

Las condiciones de los campos personalizados que se deben cumplir para reanudar un manual de estrategias. Los nombres de los campos personalizados y sus valores obligatorios deben configurarse como un objeto JSON.

Si define condiciones para varios campos, la acción espera a que todos los campos cumplan sus respectivas condiciones.

  • Para reanudar la actividad cuando un campo personalizado tenga cualquier valor, configura una cadena vacía: 
    {"Custom Field Name": ""}
  • Para reanudar la publicación cuando un campo personalizado sea igual a un valor específico, como VALUE_1, especifica el valor: 
    {"Custom Field Name": "VALUE_1"}

El valor predeterminado muestra el formato JSON esperado:

{
  "Custom Field Name 1": "Custom Field Value 1",
  "Custom Field Name 2": "Custom Field Value 2"
}

Resultados de la acción

La acción Esperar campos personalizados proporciona los siguientes resultados:

Tipo de salida de la acción Disponibilidad
Adjunto del panel de casos No disponible
Enlace del panel de casos No disponible
Tabla del panel de casos No disponible
Tabla de enriquecimiento No disponible
Resultado de JSON Disponible
Mensajes de salida Disponible
Resultado de la secuencia de comandos Disponible
Resultado de JSON

En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Esperar campos personalizados:

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}
Mensajes de salida

La acción Esperar campos personalizados puede devolver los siguientes mensajes de salida:

Mensaje resultante Descripción del mensaje

Successfully waited for the following SCOPE custom fields: UPDATED_CUSTOM_FIELD_NAMES

Waiting for SCOPE custom fields updates...

 La acción se ha realizado correctamente.
Error executing action "Wait For Custom Fields". Reason: ERROR_REASON

No se ha podido realizar la acción.

Comprueba la conexión al servidor, los parámetros de entrada o las credenciales.
Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Esperar campos personalizados:

Nombre del resultado del script Valor
is_success true o false

Empleo

Para obtener más información sobre los trabajos, consulta los artículos Configurar un nuevo trabajo y Programación avanzada.

Siemplify - Monitor de acciones

Usa el trabajo Siemplify - Monitor de acciones para recibir notificaciones sobre las acciones que hayan fallado al menos tres veces en las últimas tres horas.

Parámetros de Empleo

El trabajo Siemplify - Actions Monitor requiere los siguientes parámetros:

Parámetro Descripción
Run Interval In Seconds

Opcional.

Intervalo en segundos para que se ejecute el trabajo.

Este parámetro determina la frecuencia con la que la integración comprueba si se han producido errores en las acciones de la guía.

El valor predeterminado es 900.
Is Enabled

Opcional.

Si se selecciona, el trabajo estará activo y se ejecutará según la programación. Si no se selecciona, la tarea se inhabilita y no se ejecuta.

Esta opción está habilitada de forma predeterminada.

Siemplify - Cases Collector DB

Usa el trabajo Siemplify - Cases Collector DB para recuperar y procesar casos de seguridad de un editor concreto.

Parámetros de Empleo

La tarea Siemplify - Cases Collector DB requiere los siguientes parámetros:

Parámetro Descripción
Publisher Id

Obligatorio.

ID del editor del que se van a recoger los casos y los registros.
Verify SSL

Opcional.

Si se selecciona esta opción, el trabajo verifica que el certificado SSL del editor sea válido.

No está habilitada de forma predeterminada.

Siemplify - Recopilador de registros

Usa el trabajo Siemplify - Logs Collector para recuperar y procesar registros de un editor específico.

Entradas de tareas

El trabajo Siemplify - Logs Collector requiere los siguientes parámetros:

Parámetro Descripción
Publisher Id

Obligatorio.

El ID del editor del que se van a recoger los registros.
Verify SSL

Opcional.

Si se selecciona esta opción, el trabajo verifica que el certificado SSL del editor sea válido.

No está habilitada de forma predeterminada.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.