Integrar Siemplify con Google SecOps

En este documento se explica cómo integrar Siemplify con Google Security Operations (Google SecOps).

Versión de integración: 94.0

Casos prácticos

La integración de Siemplify puede abordar los siguientes casos prácticos:

• Investigación de phishing: usa las funciones de Google SecOps para automatizar el proceso de analizar correos de phishing, extraer indicadores de compromiso (IOCs) y enriquecerlos con información sobre amenazas.

• Contención de malware: usa las funciones de Google SecOps para aislar automáticamente los endpoints infectados, iniciar análisis y poner en cuarentena los archivos maliciosos cuando se detecte malware.

• Gestión de vulnerabilidades: usa las funciones de Google SecOps para coordinar análisis de vulnerabilidades, priorizar vulnerabilidades en función del riesgo y crear automáticamente incidencias para la corrección.

• Búsqueda de amenazas: usa las funciones de Google SecOps para automatizar la ejecución de consultas de búsqueda de amenazas en varias herramientas de seguridad y conjuntos de datos.

• Triaje de alertas de seguridad: usa las funciones de Google SecOps para enriquecer automáticamente las alertas de seguridad con información contextual, correlacionarlas con otros eventos y priorizarlas en función de su gravedad.

• Respuesta a incidentes: usa las funciones de Google SecOps para coordinar todo el proceso de respuesta a incidentes, desde la detección inicial hasta la contención y la erradicación.

• Informes de cumplimiento: usa las funciones de Google SecOps para automatizar la recogida y el análisis de datos de seguridad para generar informes de cumplimiento.

Parámetros de integración

La integración de Siemplify requiere los siguientes parámetros:

Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.

Añadir estadística de entidad

Usa la acción Añadir información valiosa de la entidad para añadir información valiosa a la entidad de Google SecOps de destino en Siemplify.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Añadir estadísticas de la entidad requiere los siguientes parámetros:

Resultados de la acción

La acción Añadir estadística de entidad proporciona los siguientes resultados:

Mensajes de salida

La acción Añadir información valiosa de entidad puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Añadir estadísticas de entidad:

Añadir información general

Usa la acción Añadir información general para añadir información general al caso.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Añadir estadística general requiere los siguientes parámetros:

Resultados de la acción

La acción Añadir estadística general proporciona los siguientes resultados:

Mensajes de salida

La acción Añadir estadística general puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Añadir estadística general:

Añadir etiquetas a casos similares

Usa la acción Añadir etiquetas a casos similares para añadir etiquetas a casos similares.

Para encontrar casos similares, la acción usa la función siemplify.get_similar_cases() con los parámetros recuperados, que devuelve una lista de IDs de casos.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Añadir etiquetas a casos similares requiere los siguientes parámetros:

Resultados de la acción

La acción Añadir etiquetas a casos similares proporciona los siguientes resultados:

Mensajes de salida

La acción Añadir etiquetas a casos similares puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Añadir etiquetas a casos similares:

Añadir a lista personalizada

Usa la acción Añadir a lista personalizada para añadir un identificador de entidad a una lista personalizada categorizada y realizar comparaciones futuras en otras acciones.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Añadir a lista personalizada requiere los siguientes parámetros:

Resultados de la acción

La acción Añadir a lista personalizada proporciona los siguientes resultados:

Mensajes de salida

La acción Añadir a lista personalizada puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Añadir a lista personalizada:

Asignación de casos

Usa la acción Asignar caso para asignar un caso a un usuario o grupo de usuarios específico.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Asignar caso requiere los siguientes parámetros:

Resultados de la acción

La acción Asignar caso proporciona los siguientes resultados:

Mensajes de salida

La acción Añadir a lista personalizada puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Asignar caso:

Adjuntar una guía a una alerta

Usa la acción Adjuntar guía a alerta para adjuntar una guía específica a una alerta.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Adjuntar guía a alerta requiere los siguientes parámetros:

Resultados de la acción

La acción Adjuntar guía a alerta proporciona los siguientes resultados:

Mensajes de salida

La acción Buscar gráficos puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Asignar runbook a alerta:

Comentario del caso

Usa la acción Comentario del caso para añadir un comentario al caso en el que se agrupa la alerta actual.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Comentario del caso requiere los siguientes parámetros:

Resultados de la acción

La acción Comentario del caso proporciona los siguientes resultados:

Mensajes de salida

La acción Añadir voto a entidad puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Comentario del caso:

Etiqueta del caso

Usa la acción Etiqueta de caso para añadir una etiqueta al caso en el que se agrupa la alerta actual.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Etiqueta de caso requiere los siguientes parámetros:

Resultados de la acción

La acción Etiqueta de caso proporciona los siguientes resultados:

Mensajes de salida

La acción Etiqueta de caso puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Etiqueta de caso:

Cambiar prioridad de alerta

Usa la acción Cambiar prioridad de alerta para actualizar la prioridad de una alerta en un caso.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Cambiar prioridad de alerta requiere los siguientes parámetros:

Resultados de la acción

La acción Cambiar prioridad de alerta proporciona los siguientes resultados:

Mensajes de salida

La acción Añadir voto a entidad puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Cambiar prioridad de alerta:

Cambiar fase del caso

Usa la acción Cambiar fase del caso para cambiar la fase del caso.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Cambiar fase del caso requiere los siguientes parámetros:

Resultados de la acción

La acción Cambiar fase del caso proporciona los siguientes resultados:

Mensajes de salida

La acción Añadir voto a entidad puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Cambiar a mayúsculas y minúsculas:

Cambiar prioridad

Usa la acción Cambiar prioridad para actualizar la prioridad del caso investigado.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Cambiar prioridad requiere los siguientes parámetros:

Resultados de la acción

La acción Cambiar prioridad proporciona los siguientes resultados:

Mensajes de salida

La acción Añadir voto a entidad puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Cambiar prioridad:

Cerrar alerta

Usa la acción Cerrar alerta para cerrar la alerta.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Cerrar alerta requiere los siguientes parámetros:

Resultados de la acción

La acción Cerrar alerta proporciona los siguientes resultados:

Mensajes de salida

La acción Añadir voto a entidad puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Cerrar alerta:

Cerrar caso

Usa la acción Cerrar caso para cerrarlo.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Cerrar caso requiere los siguientes parámetros:

Resultados de la acción

La acción Cerrar caso proporciona los siguientes resultados:

Mensajes de salida

La acción Añadir voto a entidad puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Cerrar caso:

Crear entidad

Usa la acción Crear entidad para crear una entidad y añadirla a una alerta.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Crear entidad requiere los siguientes parámetros:

Resultados de la acción

La acción Crear entidad proporciona los siguientes resultados:

Mensajes de salida

La acción Crear entidad puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos al usar la acción Crear entidad:

Crear un resumen de caso de Gemini

Usa la acción Crear resumen de caso de Gemini para crear un resumen de caso de Gemini y añadirlo a una alerta.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Crear resumen del caso de Gemini proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Crear resumen del caso de Gemini:

{
  "summary": "On the Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214), user vanshikavw_google_com initiated the process curl (SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140) to create the malware file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.\n*  VirusTotal identifies the SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 as a virus.eicar/test.\n*  CURL is associated with multiple actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961.\n*  CURL is known to use MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588.\n*  A GTI MALWARE search did not find any information about eicar_test_vanshikavw-test-new.\n*  A GTI IP_ADDRESS search did not find any information about 10.150.0.3 or 34.85.128.214.", 
  "next_steps": ["Isolate instance-1 to prevent any potential lateral movement or further compromise of the network, as the curl process is associated with multiple threat actors.", 
  "Investigate the user account vanshikavw_google_com to determine if the user's credentials have been compromised or if the user initiated the curl process intentionally, as the curl process is associated with multiple threat actors.", 
  "Analyze the network traffic to and from the IP addresses 10.150.0.3 and 34.85.128.214 for any suspicious communication patterns, as the curl process is associated with multiple threat actors.", 
  "Examine the process execution logs on instance-1 for any other unusual or unauthorized activities, as the curl process is associated with multiple threat actors.", 
  "Review the configuration of the Linux agent on instance-1 to ensure that it is properly secured and that no unauthorized modifications have been made, as the curl process is associated with multiple threat actors."], 
  "reasons": ["The case involves a Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214) where user vanshikavw_google_com initiated the process curl to create the file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.", 
  "The SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 of the curl process is identified by VirusTotal as virus.eicar/test, indicating it is a known test virus.", 
  "The process CURL is associated with multiple threat actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961, suggesting a potential link to malicious activity.", 
  "CURL is known to use various MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588, indicating a wide range of potential malicious behaviors.", 
  "The file eicar_test_vanshikavw-test-new was not found in GTI MALWARE searches, and the IP addresses 10.150.0.3 and 34.85.128.214 were not found in GTI IP_ADDRESS searches."]}

Mensajes de salida

La acción Crear resumen del caso de Gemini puede devolver los siguientes mensajes:

Resultado de la secuencia de comandos

En la siguiente tabla se indica el valor del resultado de la secuencia de comandos al usar la acción Crear resumen de caso de Gemini:

Create Or Update Entity Properties

Usa la acción Crear o actualizar propiedades de entidad para crear o cambiar propiedades de entidades en el ámbito de la entidad.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Crear o actualizar propiedades de entidad requiere los siguientes parámetros:

Resultados de la acción

La acción Crear o actualizar propiedades de entidad proporciona los siguientes resultados:

Mensajes de salida

La acción Añadir voto a entidad puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Crear o actualizar propiedades de entidad:

Obtener detalles del caso

Usa la acción Obtener detalles del caso para obtener todos los datos de un caso (incluidos los comentarios, la información de la entidad, las estadísticas, las guías que se han ejecutado, la información de las alertas y los eventos).

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Get Case Details requiere los siguientes parámetros:

Resultados de la acción

La acción Obtener detalles del caso proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Get Case Details (Obtener detalles del caso):

{
"id": 24879,
"creationTimeUnixTimeInMs": 1750862500562,
"modificationTimeUnixTimeInMs": 1750862500562,
"name": "Malware",
"priority": -1,
"isImportant": false,
"isIncident": false,
"startTimeUnixTimeInMs": 1727243021999,
"endTimeUnixTimeInMs": 1727243022479,
"assignedUser": "@Tier1",
"description": null,
"isTestCase": true,
"type": 1,
"stage": "Triage",
"environment": "Default Environment",
"status": 1,
"incidentId": null,
"tags": ["hi", "Simulated Case"],
"alertCards": [{
  "id": 172354,
  "creationTimeUnixTimeInMs": 1750862500651,
  "modificationTimeUnixTimeInMs": 1750862500651,
  "identifier": "EICAR_TEST_VANSHIKAVW-TEST-NEW0CC43705-04A7-43FD-88CD-B3E7FECA881D",
  "status": 0,
  "name": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "priority": -1,
  "workflowsStatus": 1,
  "slaExpirationUnixTime": null,
  "slaCriticalExpirationUnixTime": null,
  "startTime": 1727243021999,
  "endTime": 1727243022479,
  "alertGroupIdentifier": "MalwareSFBrxjAXvKJsJyKe5iQalf00zrv/QwX966dRoEyP2eA=_8cc160b5-7039-421c-926c-1a98073f11d2",
  "eventsCount": 3,
  "title": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "ruleGenerator": "Malware",
  "deviceProduct": "SentinelOneV2",
  "deviceVendor": "SentinelOneV2",
  "playbookAttached": "Testing",
  "playbookRunCount": 1,
  "isManualAlert": false,
  "sla": {
    "slaExpirationTime": null,
    "criticalExpirationTime": null,
    "expirationStatus": 2,
    "remainingTimeSinceLastPause": null
    },
  "fieldsGroups": [],
  "sourceUrl": null,
  "sourceRuleUrl": null,
  "siemAlertId": null,
  "relatedCases": [],
  "lastSourceUpdateUnixTimeInMs": null,
  "caseId": 24879,
  "nestingDepth": 0
  }],
"isOverflowCase": false,
"isManualCase": false,
"slaExpirationUnixTime": null,
"slaCriticalExpirationUnixTime": null,
"stageSlaExpirationUnixTimeInMs": null,
"stageSlaCriticalExpirationUnixTimeInMs": null,
"canOpenIncident": false,
"sla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null
  },
"stageSla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null},
  "relatedAlertTicketId": null,
  "relatedAlertCards": []
  }

Mensajes de salida

La acción Obtener detalles del caso puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener detalles del caso:

Obtener valor de contexto de conector

Usa la acción Obtener valor de contexto de conector para obtener un valor almacenado en una clave específica de la base de datos de Google SecOps para un contexto de conector.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Obtener valor de contexto del conector requiere los siguientes parámetros:

Resultados de la acción

La acción Obtener valor de contexto del conector proporciona los siguientes resultados:

Tabla del panel de casos

La acción Obtener valor de contexto del conector puede generar la siguiente tabla:

Nombre de la tabla: Connector

Columnas de la tabla:

• Identificador del conector
• Clave
• Valor

Mensajes de salida

La acción Obtener valor de contexto de conector puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener valor de contexto del conector:

Obtener valores de campos personalizados

Usa la acción Obtener valores de campo personalizado para recuperar los valores actuales del campo personalizado en función del ámbito especificado.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Obtener valores de campos personalizados requiere los siguientes parámetros:

Resultados de la acción

La acción Obtener valores de campos personalizados proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Obtener valores de campos personalizados:

[{
   "Case": {
       "Case Custom Field Name 1": "Updated Custom Field Value",
       "Case Custom Field Name 2": "Updated Custom Field Value"
   },
   "Alert": {
       "Alert Custom Field Name 1": "Updated Custom Field Value",
       "Alert Custom Field Name 2": "Updated Custom Field Value"
   }
}]

Mensajes de salida

La acción Obtener valores de campos personalizados puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener valores de campos personalizados:

Obtiene el valor de contexto del ámbito.

Usa la acción Obtener valor de contexto de ámbito para obtener un valor almacenado en una clave específica de la base de datos de Google SecOps.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Obtener valor de contexto de permiso requiere los siguientes parámetros:

Resultados de la acción

La acción Obtener valor de contexto de ámbito proporciona los siguientes resultados:

Tabla del panel de casos

La acción Obtener valor de contexto de ámbito puede generar la siguiente tabla:

Nombre de la tabla: SCOPE

Columnas de la tabla:

• Clave
• Valor

Mensajes de salida

La acción Obtener valor de contexto de ámbito puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Obtener valor de contexto de ámbito:

Get Similar Cases

Usa la acción Get Similar Cases para buscar casos similares y devolver sus IDs.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Obtener casos similares requiere los siguientes parámetros:

La acción Obtener casos similares aplica el operador lógico AND a los parámetros Rule Generator, Port, Category Outcome, Entity Identifier, Include Open Cases y Include Closed Cases para usarlos en la misma búsqueda.

Resultados de la acción

La acción Obtener casos similares proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Get Similar Cases (Obtener casos similares):

{
  "results": [{
    "id": 23874, 
    "name": "Malware", 
    "tags": ["hi", "Simulated Case"], 
    "start time": "2024-09-25 05:43:41.999000+00:00", 
    "start time unix": 1727243021999, 
    "last modified": "2025-06-19 13:24:01.062000+00:00", 
    "priority": "Informative", 
    "assigned user": "@Tier1", 
    "matching_criteria": {
        "ruleGenerator": true, 
        "port": true, 
        "outcome": true, 
        "entities": true
      }, 
    "matched_entities": [
      {"entity": "INSTANCE-1", "type": "HOSTNAME", "isSuspicious": false}, 
      {"entity": "10.150.0.3", "type": "ADDRESS", "isSuspicious": false}, {"entity": "172.17.0.1", "type": "ADDRESS", "isSuspicious": false}, {"entity": "VANSHIKAVW_GOOGLE_COM", "type": "USERUNIQNAME", "isSuspicious": false}, 
      {"entity": "CURL", "type": "PROCESS", "isSuspicious": false}, {"entity": "EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}, 
      {"entity": "3395856CE81F2B7382DEE72602F798B642F14140", "type": "FILEHASH", "isSuspicious": false}, 
      {"entity": "34.85.128.214", "type": "ADDRESS", "isSuspicious": false}, 
      {"entity": "/HOME/VANSHIKAVW_GOOGLE_COM/EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}
      ], 
      "status": "Open"}], 
      "stats": 
      {"Malicious": 0.0, "Is Important": 0.0, "Is Incident": 0.0, "Status Open": 100.0}, 
      "platform_url": "https://soarapitest.backstory.chronicle.security/"
}

Mensajes de salida

La acción Obtener casos similares puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Obtener casos similares:

Instrucción

Usa la acción Instrucción para dar instrucciones a un analista.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Instruction requiere los siguientes parámetros:

Resultados de la acción

La acción Instrucción proporciona los siguientes resultados:

Mensajes de salida

La acción Añadir voto a entidad puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Instruction:

Está en la lista personalizada

Usa la acción Está en lista personalizada para comprobar si el identificador de entidad forma parte de una lista personalizada específica.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Está en lista personalizada requiere los siguientes parámetros:

Resultados de la acción

La acción Está en lista personalizada proporciona los siguientes resultados:

Mensajes de salida

La acción Está en lista personalizada puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Está en lista personalizada:

Marcar como importante

Usa la acción Marcar como importante para marcar un caso como importante.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Marcar como importante proporciona los siguientes resultados:

Mensajes de salida

La acción Marcar como importante puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Marcar como importante:

Abrir URL web

Usa la acción Abrir URL web para generar un enlace de navegador.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Abrir URL web requiere los siguientes parámetros:

Resultados de la acción

La acción Abrir URL web proporciona los siguientes resultados:

Mensajes de salida

La acción Abrir URL web puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Abrir URL web:

Pausar SLA de alerta

Usa la acción Pausar SLA de alerta para pausar el temporizador del acuerdo de nivel de servicio (SLA) de una alerta específica del caso.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Pausar SLA de alerta requiere los siguientes parámetros:

Resultados de la acción

La acción Pausar SLA de alerta proporciona los siguientes resultados:

Mensajes de salida

La acción Pausar SLA de alerta puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Pausar alerta de SLA:

Pausar acuerdo de nivel de servicio del caso de asistencia

Usa la acción Pausar SLA del caso para pausar el temporizador del acuerdo de nivel de servicio (SLA) de un caso concreto.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Pausar acuerdo de nivel de servicio del caso de asistencia requiere los siguientes parámetros:

Resultados de la acción

La acción Pausar acuerdo de nivel de servicio del caso de asistencia proporciona los siguientes resultados:

Mensajes de salida

La acción Pausar acuerdo de nivel de servicio del caso de asistencia puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se indica el valor de la salida del resultado de la secuencia de comandos al usar la acción Pausar SLA de caso:

Hora de alerta permitida

Usa la acción Tiempo de alerta permitido para comprobar si la hora de inicio de una alerta seleccionada cumple las condiciones de tiempo definidas por el usuario.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Tiempo de alerta permitido requiere los siguientes parámetros:

Resultados de la acción

La acción Tiempo de alerta permitido proporciona los siguientes resultados:

Mensajes de salida

La acción Permitted Alert Time puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Tiempo de alerta permitido:

Ping

Usa la acción Ping para probar la conectividad.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Ping proporciona las siguientes salidas:

Mensajes de salida

La acción Ping puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:

Raise Incident

Usa la acción Crear incidencia para crear una incidencia y marca los casos positivos verdaderos como Critical.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Raise Incident requiere los siguientes parámetros:

Resultados de la acción

La acción Generar incidencia proporciona los siguientes resultados:

Mensajes de salida

La acción Buscar problemas de ASM puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Raise Incident (Generar incidencia):

Quitar etiqueta

Usa la acción Eliminar etiqueta para quitar etiquetas de un caso.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Quitar etiqueta requiere los siguientes parámetros:

Resultados de la acción

La acción Quitar etiqueta proporciona los siguientes resultados:

Mensajes de salida

La acción Quitar etiqueta puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Quitar etiqueta:

Eliminar de la lista personalizada

Usa la acción Quitar de lista personalizada para quitar entidades asociadas a una alerta de una categoría de lista personalizada específica.

Esta acción se ejecuta en todas las entidades de Google SecOps.

Entradas de acciones

La acción Eliminar de lista personalizada requiere los siguientes parámetros:

Resultados de la acción

La acción Eliminar de lista personalizada proporciona los siguientes resultados:

Mensajes de salida

La acción Eliminar de lista personalizada puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Eliminar de lista personalizada:

Reanudar SLA de alerta

Usa la acción Reanudar SLA de alerta para reiniciar el temporizador del acuerdo de nivel de servicio (SLA) de una alerta específica del caso.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Reanudar SLA de alerta proporciona los siguientes resultados:

Mensajes de salida

La acción Reanudar SLA de alerta puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Reanudar alerta de SLA:

Reanudar acuerdo de nivel de servicio del caso de asistencia

Usa la acción Reanudar acuerdo de nivel de servicio del caso de asistencia para reiniciar el temporizador del acuerdo de nivel de servicio (SLA) de un caso concreto.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

Ninguno

Resultados de la acción

La acción Reanudar acuerdo de nivel de servicio del caso de asistencia proporciona los siguientes resultados:

Mensajes de salida

La acción Reanudar acuerdo de nivel de servicio del caso de asistencia puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Reanudar SLA de caso:

Definir SLA de alerta

Usa la acción Definir SLA de alerta para definir el temporizador del SLA de una alerta.

Esta acción tiene la prioridad más alta y anula el SLA definido para la alerta específica.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Definir SLA de alerta requiere los siguientes parámetros:

Resultados de la acción

La acción Definir SLA de alerta proporciona los siguientes resultados:

Mensajes de salida

La acción Definir SLA de alerta puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Definir SLA de alerta:

Definir SLA del caso

Usa la acción Definir SLA de caso para definir el SLA de un caso.

Esta acción tiene la prioridad más alta y anula el acuerdo de nivel de servicio definido para el caso concreto.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Definir SLA de caso requiere los siguientes parámetros:

Resultados de la acción

La acción Definir SLA del caso proporciona los siguientes resultados:

Mensajes de salida

La acción Buscar problemas de ASM puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Definir SLA de caso:

Definir campos personalizados

Use la acción Definir campos personalizados para definir valores de campos personalizados.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Definir campos personalizados requiere los siguientes parámetros:

    {
      "Custom Field Name 1": "Custom Field Value 1",
      "Custom Field Name 2": "Custom Field Value 2"
    }
    

Resultados de la acción

La acción Definir campos personalizados proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción Definir campos personalizados:

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

Mensajes de salida

La acción Definir campos personalizados puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Definir campos personalizados:

Definir puntuación de riesgo

Usa la acción Definir puntuación de riesgo para actualizar la puntuación de riesgo de un caso.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Definir puntuación de riesgo requiere los siguientes parámetros:

Resultados de la acción

La acción Definir puntuación de riesgo proporciona los siguientes resultados:

Mensajes de salida

La acción Definir puntuación de riesgo puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Definir puntuación de riesgo:

Definir valor de contexto de alcance

Usa la acción Definir valor de contexto de ámbito para definir un valor de una clave que se almacena en la base de datos de Google SecOps.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Definir valor de contexto de ámbito requiere los siguientes parámetros:

Resultados de la acción

La acción Obtener valor de contexto de ámbito proporciona los siguientes resultados:

Mensajes de salida

La acción Definir valor de contexto de ámbito puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Definir valor de contexto de ámbito:

Update Case Description

Usa la acción Actualizar descripción del caso para actualizar la descripción de un caso.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Actualizar descripción del caso requiere los siguientes parámetros:

Resultados de la acción

La acción Actualizar descripción del caso proporciona los siguientes resultados:

Mensajes de salida

La acción Actualizar descripción del caso puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se indica el valor del resultado de la secuencia de comandos al usar la acción Update Case Description (Actualizar descripción del caso):

Esperar campos personalizados

Usa la acción Esperar campos personalizados para esperar a que se asignen valores a los campos personalizados y, así, continuar con la ejecución del cuaderno de estrategias.

Esta acción no se ejecuta en entidades de Google SecOps.

Entradas de acciones

La acción Esperar campos personalizados requiere los siguientes parámetros:

    {
      "Custom Field": ""
    }
    

    {
      "Custom Field": "VALUE_1"
    }
    

    {
      "Custom Field Name 1": "Custom Field Value 1",
      "Custom Field Name 2": "Custom Field Value 2"
    }
    

Resultados de la acción

La acción Esperar campos personalizados proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Esperar campos personalizados:

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

Mensajes de salida

La acción Esperar campos personalizados puede devolver los siguientes mensajes de salida:

Resultado de la secuencia de comandos

En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Esperar campos personalizados:

Empleo

La integración de Siemplify te permite usar los siguientes trabajos:

• Siemplify - Monitor de acciones
• Siemplify - Cases Collector DB
• Siemplify - Logs Collector

Siemplify - Monitor de acciones

Usa el trabajo Siemplify - Actions Monitor para recibir notificaciones de todas las acciones que hayan fallado individualmente al menos tres veces en las últimas tres horas.

Entradas de tareas

El trabajo Siemplify - Actions Monitor requiere los siguientes parámetros:

Siemplify - Cases Collector DB

Usa el trabajo Siemplify - Cases Collector DB para recuperar y procesar casos de seguridad de un editor concreto.

Entradas de tareas

La tarea Siemplify - Cases Collector DB requiere los siguientes parámetros:

Siemplify - Recopilador de registros

Usa el trabajo Siemplify - Logs Collector para recuperar y procesar registros de un editor específico.

Entradas de tareas

El trabajo Siemplify - Logs Collector requiere los siguientes parámetros:

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.