Integra Siemplify con Google SecOps

Versión de integración: 94.0

En este documento, se explica cómo integrar Siemplify en Google Security Operations (Google SecOps).

Casos de uso

La integración de Siemplify puede abordar los siguientes casos de uso:

• Investigación de phishing: Usa las capacidades de Google SecOps para automatizar el proceso de análisis de correos electrónicos de phishing, extraer indicadores de vulnerabilidad (IOC) y enriquecerlos con inteligencia sobre amenazas.

• Contención de software malicioso: Usa las capacidades de Google SecOps para aislar automáticamente los endpoints infectados, iniciar análisis y poner en cuarentena los archivos maliciosos cuando se detecte software malicioso.

• Administración de vulnerabilidades: Usa las capacidades de SecOps de Google para coordinar análisis de vulnerabilidades, priorizar vulnerabilidades según el riesgo y crear automáticamente tickets para la corrección.

• Búsqueda de amenazas: Usa las capacidades de Google SecOps para automatizar la ejecución de consultas de búsqueda de amenazas en varias herramientas y conjuntos de datos de seguridad.

• Clasificación de alertas de seguridad: Usa las capacidades de Google SecOps para enriquecer automáticamente las alertas de seguridad con información contextual, correlacionarlas con otros eventos y priorizarlas según su gravedad.

• Respuesta ante incidentes: Usa las capacidades de Google SecOps para coordinar todo el proceso de respuesta ante incidentes, desde la detección inicial hasta la contención y la erradicación.

• Informes de cumplimiento: Usa las capacidades de Google SecOps para automatizar la recopilación y el análisis de datos de seguridad para los informes de cumplimiento.

Parámetros de integración

La integración de Siemplify requiere los siguientes parámetros:

Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes de Tu escritorio y Cómo realizar una acción manual.

Agregar estadísticas de la entidad

Usa la acción Add Entity Insight para agregar una estadística a una entidad de Google SecOps en Siemplify.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Add Entity Insight requiere los siguientes parámetros:

Resultados de la acción

La acción Add Entity Insight proporciona los siguientes resultados:

Mensajes de salida

La acción Add Entity Insight puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Add Entity Insight:

Agregar estadística general

Usa la acción Add General Insight para agregar una sugerencia general al caso.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Add General Insight requiere los siguientes parámetros:

Resultados de la acción

La acción Add General Insight proporciona los siguientes resultados:

Mensajes de salida

La acción Add General Insight puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Add General Insight:

Agregar etiquetas a casos similares

Usa la acción Add Tags To Similar Cases para agregar etiquetas a casos similares.

Para encontrar casos similares, la acción usa la función siemplify.get_similar_cases() para recuperar una lista de IDs de casos según un conjunto de criterios y parámetros.

El operador lógico AND se aplica a los parámetros Rule Generator, Port, Category Outcome y Entity Identifier para filtrar los casos que coinciden con todos los criterios especificados.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Add Tags To Similar Cases requiere los siguientes parámetros:

Resultados de la acción

La acción Add Tags To Similar Cases proporciona los siguientes resultados:

Mensajes de salida

La acción Add Tags To Similar Cases puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Add Tags To Similar Cases:

Agregar a la lista personalizada

Usa la acción Agregar a la lista personalizada para agregar un identificador de entidad a una lista personalizada categorizada y realizar comparaciones futuras en otras acciones.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Agregar a la lista personalizada requiere los siguientes parámetros:

Resultados de la acción

La acción Agregar a la lista personalizada proporciona los siguientes resultados:

Mensajes de salida

La acción Add to Custom List puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Add to Custom List:

Asignar caso

Usa la acción Assign Case para asignar el caso a un usuario o grupo de usuarios específico.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Assign Case requiere los siguientes parámetros:

Resultados de la acción

La acción Assign Case proporciona los siguientes resultados:

Mensajes de salida

La acción Add to Custom List puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Assign Case:

Cómo adjuntar una guía a una alerta

Usa la acción Attach Playbook to Alert para adjuntar una guía específica a la alerta.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Attach Playbook to Alert requiere los siguientes parámetros:

Resultados de la acción

La acción Attach Playbook to Alert proporciona los siguientes resultados:

Mensajes de salida

La acción Search Graphs puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Attach Playbook to Alert:

Comentario del caso

Usa la acción Case Comment para agregar un comentario al caso en el que se agrupa la alerta actual.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Case Comment requiere los siguientes parámetros:

Resultados de la acción

La acción Case Comment proporciona los siguientes resultados:

Mensajes de salida

La acción Add Vote To Entity puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Case Comment:

Etiqueta del caso

Usa la acción Case Tag para agregar una etiqueta al caso en el que se agrupa la alerta actual.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Case Tag requiere los siguientes parámetros:

Resultados de la acción

La acción Case Tag proporciona los siguientes resultados:

Mensajes de salida

La acción Case Tag puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Case Tag:

Cambiar prioridad de la alerta

Usa la acción Cambiar prioridad de la alerta para actualizar la prioridad de una alerta en un caso.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Change Alert Priority requiere los siguientes parámetros:

Resultados de la acción

La acción Change Alert Priority proporciona los siguientes resultados:

Mensajes de salida

La acción Add Vote To Entity puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Change Alert Priority:

Cambiar etapa del caso

Usa la acción Change Case Stage para cambiar la etapa del caso.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Change Case Stage requiere los siguientes parámetros:

Resultados de la acción

La acción Change Case Stage proporciona los siguientes resultados:

Mensajes de salida

La acción Add Vote To Entity puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Change Case Stage:

Cambiar prioridad

Usa la acción Cambiar prioridad para cambiar la prioridad del caso.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Change Priority requiere los siguientes parámetros:

Resultados de la acción

La acción Change Priority proporciona los siguientes resultados:

Mensajes de salida

La acción Add Vote To Entity puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Change Priority:

Cerrar la alerta

Usa la acción Cerrar alerta para cerrar la alerta.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Close Alert requiere los siguientes parámetros:

Resultados de la acción

La acción Cerrar alerta proporciona los siguientes resultados:

Mensajes de salida

La acción Add Vote To Entity puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Cerrar alerta:

Cierre del caso

Usa la acción Cerrar caso para cerrarlo.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Close Case requiere los siguientes parámetros:

Resultados de la acción

La acción Close Case proporciona los siguientes resultados:

Mensajes de salida

La acción Add Vote To Entity puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Close Case:

Crear entidad

Usa la acción Create Entity para crear una entidad nueva y agregarla a una alerta.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Create Entity requiere los siguientes parámetros:

Resultados de la acción

La acción Create Entity proporciona los siguientes resultados:

Mensajes de salida

La acción Create Entity puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Create Entity:

Crea un resumen del caso con Gemini

Usa la acción Create Gemini Case Summary para crear un nuevo resumen del caso de Gemini y agregarlo a una alerta.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Create Gemini Case Summary proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Create Gemini Case Summary:

{
  "summary": "On the Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214), user vanshikavw_google_com initiated the process curl (SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140) to create the malware file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.\n*  VirusTotal identifies the SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 as a virus.eicar/test.\n*  CURL is associated with multiple actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961.\n*  CURL is known to use MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588.\n*  A GTI MALWARE search did not find any information about eicar_test_vanshikavw-test-new.\n*  A GTI IP_ADDRESS search did not find any information about 10.150.0.3 or 34.85.128.214.", 
  "next_steps": ["Isolate instance-1 to prevent any potential lateral movement or further compromise of the network, as the curl process is associated with multiple threat actors.", 
  "Investigate the user account vanshikavw_google_com to determine if the user's credentials have been compromised or if the user initiated the curl process intentionally, as the curl process is associated with multiple threat actors.", 
  "Analyze the network traffic to and from the IP addresses 10.150.0.3 and 34.85.128.214 for any suspicious communication patterns, as the curl process is associated with multiple threat actors.", 
  "Examine the process execution logs on instance-1 for any other unusual or unauthorized activities, as the curl process is associated with multiple threat actors.", 
  "Review the configuration of the Linux agent on instance-1 to ensure that it is properly secured and that no unauthorized modifications have been made, as the curl process is associated with multiple threat actors."], 
  "reasons": ["The case involves a Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214) where user vanshikavw_google_com initiated the process curl to create the file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.", 
  "The SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 of the curl process is identified by VirusTotal as virus.eicar/test, indicating it is a known test virus.", 
  "The process CURL is associated with multiple threat actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961, suggesting a potential link to malicious activity.", 
  "CURL is known to use various MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588, indicating a wide range of potential malicious behaviors.", 
  "The file eicar_test_vanshikavw-test-new was not found in GTI MALWARE searches, and the IP addresses 10.150.0.3 and 34.85.128.214 were not found in GTI IP_ADDRESS searches."]
}

Mensajes de salida

La acción Create Gemini Case Summary puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Create Gemini Case Summary:

Crea o actualiza propiedades de entidades

Usa la acción Create Or Update Entity Properties para crear o cambiar las propiedades de las entidades en el alcance de la entidad.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Create Or Update Entity Properties requiere los siguientes parámetros:

Resultados de la acción

La acción Create Or Update Entity Properties proporciona los siguientes resultados:

Mensajes de salida

La acción Create Or Update Entity Properties puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Create Or Update Entity Properties:

Cómo recibir alertas de casos

Usa la acción Get Case Alerts para recuperar alertas relacionadas con casos específicos.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Get Case Alerts requiere los siguientes parámetros:

Obtén detalles del caso

Usa la acción Get Case Details para obtener todos los datos de un caso (incluidos los comentarios, la información de la entidad, las estadísticas, las guías que se ejecutaron, la información de las alertas y los eventos).

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Get Case Details requiere los siguientes parámetros:

Resultados de la acción

La acción Get Case Details proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado en formato JSON que se recibe cuando se usa la acción Get Case Details:

{
"id": 24879,
"creationTimeUnixTimeInMs": 1750862500562,
"modificationTimeUnixTimeInMs": 1750862500562,
"name": "Malware",
"priority": -1,
"isImportant": false,
"isIncident": false,
"startTimeUnixTimeInMs": 1727243021999,
"endTimeUnixTimeInMs": 1727243022479,
"assignedUser": "@Tier1",
"description": null,
"isTestCase": true,
"type": 1,
"stage": "Triage",
"environment": "Default Environment",
"status": 1,
"incidentId": null,
"tags": ["hi", "Simulated Case"],
"alertCards": [{
  "id": 172354,
  "creationTimeUnixTimeInMs": 1750862500651,
  "modificationTimeUnixTimeInMs": 1750862500651,
  "identifier": "EICAR_TEST_VANSHIKAVW-TEST-NEW0CC43705-04A7-43FD-88CD-B3E7FECA881D",
  "status": 0,
  "name": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "priority": -1,
  "workflowsStatus": 1,
  "slaExpirationUnixTime": null,
  "slaCriticalExpirationUnixTime": null,
  "startTime": 1727243021999,
  "endTime": 1727243022479,
  "alertGroupIdentifier": "MalwareSFBrxjAXvKJsJyKe5iQalf00zrv/QwX966dRoEyP2eA=_8cc160b5-7039-421c-926c-1a98073f11d2",
  "eventsCount": 3,
  "title": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "ruleGenerator": "Malware",
  "deviceProduct": "SentinelOneV2",
  "deviceVendor": "SentinelOneV2",
  "playbookAttached": "Testing",
  "playbookRunCount": 1,
  "isManualAlert": false,
  "sla": {
    "slaExpirationTime": null,
    "criticalExpirationTime": null,
    "expirationStatus": 2,
    "remainingTimeSinceLastPause": null
    },
  "fieldsGroups": [],
  "sourceUrl": null,
  "sourceRuleUrl": null,
  "siemAlertId": null,
  "relatedCases": [],
  "lastSourceUpdateUnixTimeInMs": null,
  "caseId": 24879,
  "nestingDepth": 0
  }],
"isOverflowCase": false,
"isManualCase": false,
"slaExpirationUnixTime": null,
"slaCriticalExpirationUnixTime": null,
"stageSlaExpirationUnixTimeInMs": null,
"stageSlaCriticalExpirationUnixTimeInMs": null,
"canOpenIncident": false,
"sla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null
  },
"stageSla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null},
  "relatedAlertTicketId": null,
  "relatedAlertCards": []
  }

Mensajes de salida

La acción Get Case Details puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get Case Details:

Obtener el valor del contexto del conector

Usa la acción Get Connector Context Value para recuperar un valor de una clave especificada en la base de datos de Google SecOps para un contexto del conector.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Get Connector Context Value requiere los siguientes parámetros:

Resultados de la acción

La acción Get Connector Context Value proporciona los siguientes resultados:

Tabla del muro de casos

La acción Get Connector Context Value puede generar la siguiente tabla:

Nombre de la tabla: Connector

Columnas de la tabla:

• Identificador del conector
• Clave
• Valor

Mensajes de salida

La acción Get Connector Context Value puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Connector Context Value:

Obtener valores de campos personalizados

Usa la acción Get Custom Field Values para recuperar los valores actuales de un campo personalizado según el alcance especificado.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Get Custom Field Values requiere los siguientes parámetros:

Resultados de la acción

La acción Get Custom Field Values proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Custom Field Values:

[{
   "Case": {
       "Case Custom Field Name 1": "Updated Custom Field Value",
       "Case Custom Field Name 2": "Updated Custom Field Value"
   },
   "Alert": {
       "Alert Custom Field Name 1": "Updated Custom Field Value",
       "Alert Custom Field Name 2": "Updated Custom Field Value"
   }
}]

Mensajes de salida

La acción Get Custom Field Values puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Custom Field Values:

Obtén el valor del contexto del alcance

Usa la acción Get Scope Context Value para recuperar un valor de la base de datos de Google SecOps que se almacena con una clave y un contexto especificados.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Get Scope Context Value requiere los siguientes parámetros:

Resultados de la acción

La acción Get Scope Context Value proporciona los siguientes resultados:

Tabla del muro de casos

La acción Get Scope Context Value puede generar la siguiente tabla:

Nombre de la tabla: SCOPE

Columnas de la tabla:

• Clave
• Valor

Mensajes de salida

La acción Get Scope Context Value puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Get Scope Context Value:

Obtener casos similares

Usa la acción Get Similar Cases para buscar casos similares y devolver sus IDs.

La acción aplica el operador lógico AND a los parámetros Rule Generator, Port, Category Outcome, Entity Identifier, Include Open Cases y Include Closed Cases para filtrar los casos que coincidan con todos los criterios especificados.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Get Similar Cases requiere los siguientes parámetros:

Resultados de la acción

La acción Get Similar Cases proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Similar Cases:

{
  "results": [{
    "id": 23874, 
    "name": "Malware", 
    "tags": ["hi", "Simulated Case"], 
    "start time": "2024-09-25 05:43:41.999000+00:00", 
    "start time unix": 1727243021999, 
    "last modified": "2025-06-19 13:24:01.062000+00:00", 
    "priority": "Informative", 
    "assigned user": "@Tier1", 
    "matching_criteria": {
        "ruleGenerator": true, 
        "port": true, 
        "outcome": true, 
        "entities": true
      }, 
    "matched_entities": [
      {"entity": "INSTANCE-1", "type": "HOSTNAME", "isSuspicious": false}, 
      {"entity": "10.150.0.3", "type": "ADDRESS", "isSuspicious": false}, {"entity": "172.17.0.1", "type": "ADDRESS", "isSuspicious": false}, {"entity": "VANSHIKAVW_GOOGLE_COM", "type": "USERUNIQNAME", "isSuspicious": false}, 
      {"entity": "CURL", "type": "PROCESS", "isSuspicious": false}, {"entity": "EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}, 
      {"entity": "3395856CE81F2B7382DEE72602F798B642F14140", "type": "FILEHASH", "isSuspicious": false}, 
      {"entity": "34.85.128.214", "type": "ADDRESS", "isSuspicious": false}, 
      {"entity": "/HOME/VANSHIKAVW_GOOGLE_COM/EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}
      ], 
      "status": "Open"}], 
      "stats": 
      {"Malicious": 0.0, "Is Important": 0.0, "Is Incident": 0.0, "Status Open": 100.0}, 
      "platform_url": "https://soarapitest.backstory.chronicle.security/"
}

Mensajes de salida

La acción Get Similar Cases puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Similar Cases:

Instrucción

Usa la acción Instrucción para proporcionar instrucciones a un analista directamente en el caso.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Instruction requiere los siguientes parámetros:

Resultados de la acción

La acción Instrucción proporciona los siguientes resultados:

Mensajes de salida

La acción Add Vote To Entity puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Instruction:

Está en la lista personalizada

Usa la acción Is In Custom List para verificar si una entidad existe en una lista personalizada designada.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Is In Custom List requiere los siguientes parámetros:

Resultados de la acción

La acción Is In Custom List proporciona los siguientes resultados:

Mensajes de salida

La acción Is In Custom List puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Is In Custom List:

Marcar como importante

Usa la acción Marcar como importante para marcar el caso como importante.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Marcar como importante proporciona los siguientes resultados:

Mensajes de salida

La acción Marcar como importante puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Marcar como importante:

URL de la Web abierta

Usa la acción Open Web Url para generar un vínculo del navegador.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Open Web Url requiere los siguientes parámetros:

Resultados de la acción

La acción Open Web Url proporciona los siguientes resultados:

Mensajes de salida

La acción Open Web Url puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Open Web Url:

Pausar el ANS de la alerta

Usa la acción Pausar el ANS de la alerta para pausar el temporizador del Acuerdo de Nivel de Servicio (ANS) de la alerta.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Pausar el ANS de la alerta requiere los siguientes parámetros:

Resultados de la acción

La acción Pausar el ANS de la alerta proporciona los siguientes resultados:

Mensajes de salida

La acción Pausar el ANS de la alerta puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Pausar alerta del ANS:

Pausar el ANS del caso

Usa la acción Pausar el ANS del caso para pausar el temporizador del Acuerdo de Nivel de Servicio (ANS) del caso.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Pausar el ANS del caso requiere los siguientes parámetros:

Resultados de la acción

La acción Pause Case SLA proporciona los siguientes resultados:

Mensajes de salida

La acción Pausar el ANS del caso puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Pause Case SLA:

Hora de alerta permitida

Usa la acción Permitted Alert Time para verificar si la hora de inicio de la alerta cumple con las condiciones de tiempo definidas por el usuario.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Permitted Alert Time requiere los siguientes parámetros:

Resultados de la acción

La acción Permitted Alert Time proporciona los siguientes resultados:

Mensajes de salida

La acción Permitted Alert Time puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Permitted Alert Time:

Ping

Usa la acción Ping para probar la conectividad a Siemplify.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Ping proporciona los siguientes resultados:

Mensajes de salida

La acción Ping puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:

Generar incidente

Usa la acción Raise Incident para marcar un caso de verdadero positivo como Critical y generar el incidente del caso.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Raise Incident requiere los siguientes parámetros:

Resultados de la acción

La acción Raise Incident proporciona los siguientes resultados:

Mensajes de salida

La acción Raise Incident puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Raise Incident:

Quitar etiqueta

Usa la acción Remove Tag para quitar etiquetas del caso.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Remove Tag requiere los siguientes parámetros:

Resultados de la acción

La acción Remove Tag proporciona los siguientes resultados:

Mensajes de salida

La acción Remove Tag puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Remove Tag:

Quitar de la lista personalizada

Usa la acción Quitar de la lista personalizada para quitar entidades asociadas con una alerta de una categoría de lista personalizada.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Remove From Custom List requiere los siguientes parámetros:

Resultados de la acción

La acción Remove From Custom List proporciona los siguientes resultados:

Mensajes de salida

La acción Remove From Custom List puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Remove From Custom List:

Reanudar el ANS de la alerta

Usa la acción Reanudar el ANS de la alerta para reanudar y reiniciar el temporizador del Acuerdo de Nivel de Servicio (ANS) de la alerta.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Reanudar el ANS de la alerta proporciona los siguientes resultados:

Mensajes de salida

La acción Reanudar el ANS de la alerta puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Resume Alert SLA:

Reanudar el ANS del caso

Usa la acción Reanudar el ANS del caso para reanudar y reiniciar el temporizador del Acuerdo de Nivel de Servicio (ANS) del caso.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Reanudar el ANS del caso proporciona los siguientes resultados:

Mensajes de salida

La acción Resume Case SLA puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Resume Case SLA:

Establece el ANS de la alerta

Usa la acción Set Alert SLA para configurar el temporizador del ANS de la alerta.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Set Alert SLA requiere los siguientes parámetros:

Resultados de la acción

La acción Set Alert SLA proporciona los siguientes resultados:

Mensajes de salida

La acción Set Alert SLA puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Set Alert SLA:

Establecer el ANS del caso

Usa la acción Set Case SLA para establecer el ANS del caso.

Esta acción tiene la prioridad más alta y anula el ANS existente definido para el caso específico.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Set Case SLA requiere los siguientes parámetros:

Resultados de la acción

La acción Set Case SLA proporciona los siguientes resultados:

Mensajes de salida

La acción Search ASM Issues puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Set Case SLA:

Establecer campos personalizados

Usa la acción Set Custom Fields para establecer valores para los campos personalizados.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Set Custom Fields requiere los siguientes parámetros:

    {
      "Custom Field Name 1":"Custom Field Value 1",
      "Custom Field Name 2":"Custom Field Value 2"
    }

Resultados de la acción

La acción Set Custom Fields proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Set Custom Fields:

{
  "Custom Field Name": "Updated Custom Field Value",
  "Custom Field Name": "Updated Custom Field Value",
}

Mensajes de salida

La acción Set Custom Fields puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Set Custom Fields:

Establecer la puntuación de riesgo

Usa la acción Set Risk Score para actualizar la puntuación de riesgo del caso.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Set Risk Score requiere los siguientes parámetros:

Resultados de la acción

La acción Set Risk Score proporciona los siguientes resultados:

Mensajes de salida

La acción Set Risk Score puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Set Risk Score:

Establece el valor del contexto del alcance

Usa la acción Set Scope Context Value para establecer un valor para una clave que se almacena en la base de datos de Google SecOps.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Set Scope Context Value requiere los siguientes parámetros:

Resultados de la acción

La acción Set Scope Context Value proporciona los siguientes resultados:

Mensajes de salida

La acción Set Scope Context Value puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado del script cuando se usa la acción Set Scope Context Value:

Actualiza la descripción del caso

Usa la acción Update Case Description para actualizar la descripción del caso.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Update Case Description requiere los siguientes parámetros:

Resultados de la acción

La acción Update Case Description proporciona los siguientes resultados:

Mensajes de salida

La acción Update Case Description puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Update Case Description:

Esperar campos personalizados

Usa la acción Wait For Custom Fields para esperar los valores de los campos personalizados y continuar con la ejecución del playbook.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Wait For Custom Fields requiere los siguientes parámetros:

{
  "Custom Field Name 1": "Custom Field Value 1",
  "Custom Field Name 2": "Custom Field Value 2"
}
    

Resultados de la acción

La acción Wait For Custom Fields proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Wait For Custom Fields:

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

Mensajes de salida

La acción Wait For Custom Fields puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Wait For Custom Fields:

Trabajos

Para obtener más información sobre los trabajos, consulta Configura un trabajo nuevo y Programación avanzada.

Siemplify: Actions Monitor

Usa el trabajo Siemplify - Actions Monitor para recibir notificaciones sobre las acciones que fallaron al menos tres veces por separado en las últimas tres horas.

Parámetros del trabajo

El trabajo Siemplify - Actions Monitor requiere los siguientes parámetros:

Siemplify - Base de datos del recopilador de casos

Usa el trabajo Siemplify - Cases Collector DB para recuperar y procesar casos de seguridad de un publicador designado.

Parámetros del trabajo

El trabajo Siemplify - Cases Collector DB requiere los siguientes parámetros:

Siemplify: Logs Collector

Usa el trabajo Siemplify - Logs Collector para recuperar y procesar registros de un publicador especificado.

Entradas de trabajo

El trabajo Siemplify - Logs Collector requiere los siguientes parámetros:

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.