Integra Siemplify con Google SecOps

En este documento, se explica cómo integrar Siemplify en Google Security Operations (Google SecOps).

Versión de integración: 94.0

Casos de uso

La integración de Siemplify puede abordar los siguientes casos de uso:

• Investigación de phishing: Usa las capacidades de Google SecOps para automatizar el proceso de análisis de correos electrónicos de phishing, extraer indicadores de vulnerabilidad (IOC) y enriquecerlos con inteligencia sobre amenazas.

• Contención de software malicioso: Usa las capacidades de Google SecOps para aislar automáticamente los endpoints infectados, iniciar análisis y poner en cuarentena los archivos maliciosos cuando se detecte software malicioso.

• Administración de vulnerabilidades: Usa las capacidades de SecOps de Google para coordinar análisis de vulnerabilidades, priorizar vulnerabilidades según el riesgo y crear automáticamente tickets para la corrección.

• Búsqueda de amenazas: Usa las capacidades de Google SecOps para automatizar la ejecución de consultas de búsqueda de amenazas en varias herramientas y conjuntos de datos de seguridad.

• Clasificación de alertas de seguridad: Usa las capacidades de Google SecOps para enriquecer automáticamente las alertas de seguridad con información contextual, correlacionarlas con otros eventos y priorizarlas según su gravedad.

• Respuesta ante incidentes: Usa las capacidades de Google SecOps para coordinar todo el proceso de respuesta ante incidentes, desde la detección inicial hasta la contención y la erradicación.

• Informes de cumplimiento: Usa las capacidades de Google SecOps para automatizar la recopilación y el análisis de datos de seguridad para los informes de cumplimiento.

Parámetros de integración

La integración de Siemplify requiere los siguientes parámetros:

Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.

Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.

Acciones

Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes desde Tu escritorio y Cómo realizar una acción manual.

Agregar estadísticas de la entidad

Usa la acción Add Entity Insight para agregar una estadística a la entidad de Google SecOps objetivo en Siemplify.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Add Entity Insight requiere los siguientes parámetros:

Resultados de la acción

La acción Add Entity Insight proporciona los siguientes resultados:

Mensajes de salida

La acción Add Entity Insight puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Add Entity Insight:

Agregar estadística general

Usa la acción Add General Insight para agregar una estadística general al caso.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Add General Insight requiere los siguientes parámetros:

Resultados de la acción

La acción Add General Insight proporciona los siguientes resultados:

Mensajes de salida

La acción Add General Insight puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Add General Insight:

Agregar etiquetas a casos similares

Usa la acción Add Tags To Similar Cases para agregar etiquetas a casos similares.

Para encontrar casos similares, la acción usa la función siemplify.get_similar_cases() con los parámetros recuperados que muestran una lista de IDs de casos.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Add Tags To Similar Cases requiere los siguientes parámetros:

Resultados de la acción

La acción Add Tags To Similar Cases proporciona los siguientes resultados:

Mensajes de salida

La acción Add Tags To Similar Cases puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Add Tags To Similar Cases:

Agregar a la lista personalizada

Usa la acción Agregar a la lista personalizada para agregar un identificador de entidad a una lista personalizada categorizada y realizar comparaciones futuras en otras acciones.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Agregar a la lista personalizada requiere los siguientes parámetros:

Resultados de la acción

La acción Agregar a la lista personalizada proporciona los siguientes resultados:

Mensajes de salida

La acción Add to Custom List puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Add to Custom List:

Asignar caso

Usa la acción Assign Case para asignar un caso a un usuario o grupo de usuarios específico.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Assign Case requiere los siguientes parámetros:

Resultados de la acción

La acción Assign Case proporciona los siguientes resultados:

Mensajes de salida

La acción Add to Custom List puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Assign Case:

Cómo adjuntar un playbook a una alerta

Usa la acción Attach Playbook to Alert para adjuntar una guía específica a una alerta.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Attach Playbook to Alert requiere los siguientes parámetros:

Resultados de la acción

La acción Attach Playbook to Alert proporciona los siguientes resultados:

Mensajes de salida

La acción Search Graphs puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Attach Playbook to Alert:

Comentario del caso

Usa la acción Case Comment para agregar un comentario al caso en el que se agrupa la alerta actual.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Case Comment requiere los siguientes parámetros:

Resultados de la acción

La acción Case Comment proporciona los siguientes resultados:

Mensajes de salida

La acción Add Vote To Entity puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Case Comment:

Etiqueta del caso

Usa la acción Case Tag para agregar una etiqueta al caso en el que se agrupa la alerta actual.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Case Tag requiere los siguientes parámetros:

Resultados de la acción

La acción Case Tag proporciona los siguientes resultados:

Mensajes de salida

La acción Case Tag puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Case Tag:

Cambiar prioridad de la alerta

Usa la acción Cambiar prioridad de la alerta para actualizar la prioridad de una alerta en un caso.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Change Alert Priority requiere los siguientes parámetros:

Resultados de la acción

La acción Change Alert Priority proporciona los siguientes resultados:

Mensajes de salida

La acción Add Vote To Entity puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Change Alert Priority:

Cambiar etapa del caso

Usa la acción Change Case Stage para cambiar la etapa del caso.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Change Case Stage requiere los siguientes parámetros:

Resultados de la acción

La acción Change Case Stage proporciona los siguientes resultados:

Mensajes de salida

La acción Add Vote To Entity puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Change Case Stage:

Cambiar prioridad

Usa la acción Cambiar prioridad para actualizar la prioridad del caso investigado.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Change Priority requiere los siguientes parámetros:

Resultados de la acción

La acción Change Priority proporciona los siguientes resultados:

Mensajes de salida

La acción Add Vote To Entity puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Change Priority:

Cerrar la alerta

Usa la acción Cerrar alerta para cerrar la alerta.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Close Alert requiere los siguientes parámetros:

Resultados de la acción

La acción Cerrar alerta proporciona los siguientes resultados:

Mensajes de salida

La acción Add Vote To Entity puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Cerrar alerta:

Cierre del caso

Usa la acción Cerrar caso para cerrar el caso.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Close Case requiere los siguientes parámetros:

Resultados de la acción

La acción Close Case proporciona los siguientes resultados:

Mensajes de salida

La acción Add Vote To Entity puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Close Case:

Crear entidad

Usa la acción Create Entity para crear una entidad nueva y agregarla a una alerta.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Create Entity requiere los siguientes parámetros:

Resultados de la acción

La acción Create Entity proporciona los siguientes resultados:

Mensajes de salida

La acción Create Entity puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Create Entity:

Crea un resumen del caso con Gemini

Usa la acción Create Gemini Case Summary para crear un nuevo resumen del caso de Gemini y agregarlo a una alerta.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

Ninguno

Resultados de la acción

La acción Create Gemini Case Summary proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Create Gemini Case Summary:

{
  "summary": "On the Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214), user vanshikavw_google_com initiated the process curl (SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140) to create the malware file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.\n*  VirusTotal identifies the SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 as a virus.eicar/test.\n*  CURL is associated with multiple actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961.\n*  CURL is known to use MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588.\n*  A GTI MALWARE search did not find any information about eicar_test_vanshikavw-test-new.\n*  A GTI IP_ADDRESS search did not find any information about 10.150.0.3 or 34.85.128.214.", 
  "next_steps": ["Isolate instance-1 to prevent any potential lateral movement or further compromise of the network, as the curl process is associated with multiple threat actors.", 
  "Investigate the user account vanshikavw_google_com to determine if the user's credentials have been compromised or if the user initiated the curl process intentionally, as the curl process is associated with multiple threat actors.", 
  "Analyze the network traffic to and from the IP addresses 10.150.0.3 and 34.85.128.214 for any suspicious communication patterns, as the curl process is associated with multiple threat actors.", 
  "Examine the process execution logs on instance-1 for any other unusual or unauthorized activities, as the curl process is associated with multiple threat actors.", 
  "Review the configuration of the Linux agent on instance-1 to ensure that it is properly secured and that no unauthorized modifications have been made, as the curl process is associated with multiple threat actors."], 
  "reasons": ["The case involves a Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214) where user vanshikavw_google_com initiated the process curl to create the file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.", 
  "The SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 of the curl process is identified by VirusTotal as virus.eicar/test, indicating it is a known test virus.", 
  "The process CURL is associated with multiple threat actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961, suggesting a potential link to malicious activity.", 
  "CURL is known to use various MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588, indicating a wide range of potential malicious behaviors.", 
  "The file eicar_test_vanshikavw-test-new was not found in GTI MALWARE searches, and the IP addresses 10.150.0.3 and 34.85.128.214 were not found in GTI IP_ADDRESS searches."]}

Mensajes de salida

La acción Create Gemini Case Summary puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Create Gemini Case Summary:

Crea o actualiza propiedades de la entidad

Usa la acción Create Or Update Entity Properties para crear o cambiar propiedades de entidades en el alcance de la entidad.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Create Or Update Entity Properties requiere los siguientes parámetros:

Resultados de la acción

La acción Create Or Update Entity Properties proporciona los siguientes resultados:

Mensajes de salida

La acción Add Vote To Entity puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Create Or Update Entity Properties:

Obtén detalles del caso

Usa la acción Get Case Details para obtener todos los datos de un caso (incluidos los comentarios, la información de la entidad, las estadísticas, las guías que se ejecutaron, la información de las alertas y los eventos).

Esta acción no se ejecuta en las entidades de SecOps de Google.

Entradas de acción

La acción Get Case Details requiere los siguientes parámetros:

Resultados de la acción

La acción Get Case Details proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado en formato JSON que se recibe cuando se usa la acción Get Case Details:

{
"id": 24879,
"creationTimeUnixTimeInMs": 1750862500562,
"modificationTimeUnixTimeInMs": 1750862500562,
"name": "Malware",
"priority": -1,
"isImportant": false,
"isIncident": false,
"startTimeUnixTimeInMs": 1727243021999,
"endTimeUnixTimeInMs": 1727243022479,
"assignedUser": "@Tier1",
"description": null,
"isTestCase": true,
"type": 1,
"stage": "Triage",
"environment": "Default Environment",
"status": 1,
"incidentId": null,
"tags": ["hi", "Simulated Case"],
"alertCards": [{
  "id": 172354,
  "creationTimeUnixTimeInMs": 1750862500651,
  "modificationTimeUnixTimeInMs": 1750862500651,
  "identifier": "EICAR_TEST_VANSHIKAVW-TEST-NEW0CC43705-04A7-43FD-88CD-B3E7FECA881D",
  "status": 0,
  "name": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "priority": -1,
  "workflowsStatus": 1,
  "slaExpirationUnixTime": null,
  "slaCriticalExpirationUnixTime": null,
  "startTime": 1727243021999,
  "endTime": 1727243022479,
  "alertGroupIdentifier": "MalwareSFBrxjAXvKJsJyKe5iQalf00zrv/QwX966dRoEyP2eA=_8cc160b5-7039-421c-926c-1a98073f11d2",
  "eventsCount": 3,
  "title": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "ruleGenerator": "Malware",
  "deviceProduct": "SentinelOneV2",
  "deviceVendor": "SentinelOneV2",
  "playbookAttached": "Testing",
  "playbookRunCount": 1,
  "isManualAlert": false,
  "sla": {
    "slaExpirationTime": null,
    "criticalExpirationTime": null,
    "expirationStatus": 2,
    "remainingTimeSinceLastPause": null
    },
  "fieldsGroups": [],
  "sourceUrl": null,
  "sourceRuleUrl": null,
  "siemAlertId": null,
  "relatedCases": [],
  "lastSourceUpdateUnixTimeInMs": null,
  "caseId": 24879,
  "nestingDepth": 0
  }],
"isOverflowCase": false,
"isManualCase": false,
"slaExpirationUnixTime": null,
"slaCriticalExpirationUnixTime": null,
"stageSlaExpirationUnixTimeInMs": null,
"stageSlaCriticalExpirationUnixTimeInMs": null,
"canOpenIncident": false,
"sla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null
  },
"stageSla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null},
  "relatedAlertTicketId": null,
  "relatedAlertCards": []
  }

Mensajes de salida

La acción Get Case Details puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get Case Details:

Obtén el valor del contexto del conector

Usa la acción Get Connector Context Value para obtener un valor que se almacena bajo una clave especificada en la base de datos de Google SecOps para un contexto de conector.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Get Connector Context Value requiere los siguientes parámetros:

Resultados de la acción

La acción Get Connector Context Value proporciona los siguientes resultados:

Tabla del muro de casos

La acción Get Connector Context Value puede generar la siguiente tabla:

Nombre de la tabla: Connector

Columnas de la tabla:

• Identificador del conector
• Clave
• Valor

Mensajes de salida

La acción Get Connector Context Value puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Connector Context Value:

Obtener valores de campos personalizados

Usa la acción Get Custom Field Values para recuperar los valores actuales del campo personalizado según el alcance especificado.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Get Custom Field Values requiere los siguientes parámetros:

Resultados de la acción

La acción Get Custom Field Values proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Custom Field Values:

[{
   "Case": {
       "Case Custom Field Name 1": "Updated Custom Field Value",
       "Case Custom Field Name 2": "Updated Custom Field Value"
   },
   "Alert": {
       "Alert Custom Field Name 1": "Updated Custom Field Value",
       "Alert Custom Field Name 2": "Updated Custom Field Value"
   }
}]

Mensajes de salida

La acción Get Custom Field Values puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Custom Field Values:

Obtén el valor del contexto del alcance

Usa la acción Get Scope Context Value para obtener un valor que se almacena con una clave especificada en la base de datos de Google SecOps.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Get Scope Context Value requiere los siguientes parámetros:

Resultados de la acción

La acción Get Scope Context Value proporciona los siguientes resultados:

Tabla del muro de casos

La acción Get Scope Context Value puede generar la siguiente tabla:

Nombre de la tabla: SCOPE

Columnas de la tabla:

• Clave
• Valor

Mensajes de salida

La acción Get Scope Context Value puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Scope Context Value:

Obtén casos similares

Usa la acción Get Similar Cases para buscar casos similares y devolver sus IDs.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Get Similar Cases requiere los siguientes parámetros:

La acción Get Similar Cases aplica el operador lógico AND a los parámetros Rule Generator, Port, Category Outcome, Entity Identifier, Include Open Cases y Include Closed Cases para usarlos en la misma búsqueda.

Resultados de la acción

La acción Get Similar Cases proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Similar Cases:

{
  "results": [{
    "id": 23874, 
    "name": "Malware", 
    "tags": ["hi", "Simulated Case"], 
    "start time": "2024-09-25 05:43:41.999000+00:00", 
    "start time unix": 1727243021999, 
    "last modified": "2025-06-19 13:24:01.062000+00:00", 
    "priority": "Informative", 
    "assigned user": "@Tier1", 
    "matching_criteria": {
        "ruleGenerator": true, 
        "port": true, 
        "outcome": true, 
        "entities": true
      }, 
    "matched_entities": [
      {"entity": "INSTANCE-1", "type": "HOSTNAME", "isSuspicious": false}, 
      {"entity": "10.150.0.3", "type": "ADDRESS", "isSuspicious": false}, {"entity": "172.17.0.1", "type": "ADDRESS", "isSuspicious": false}, {"entity": "VANSHIKAVW_GOOGLE_COM", "type": "USERUNIQNAME", "isSuspicious": false}, 
      {"entity": "CURL", "type": "PROCESS", "isSuspicious": false}, {"entity": "EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}, 
      {"entity": "3395856CE81F2B7382DEE72602F798B642F14140", "type": "FILEHASH", "isSuspicious": false}, 
      {"entity": "34.85.128.214", "type": "ADDRESS", "isSuspicious": false}, 
      {"entity": "/HOME/VANSHIKAVW_GOOGLE_COM/EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}
      ], 
      "status": "Open"}], 
      "stats": 
      {"Malicious": 0.0, "Is Important": 0.0, "Is Incident": 0.0, "Status Open": 100.0}, 
      "platform_url": "https://soarapitest.backstory.chronicle.security/"
}

Mensajes de salida

La acción Get Similar Cases puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Similar Cases:

Instrucción

Usa la acción Instrucción para establecer instrucciones para un analista.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Instruction requiere los siguientes parámetros:

Resultados de la acción

La acción Instrucción proporciona los siguientes resultados:

Mensajes de salida

La acción Add Vote To Entity puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Instruction:

Está en la lista personalizada

Usa la acción Is In Custom List para verificar si el identificador de la entidad forma parte de una lista personalizada especificada.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Is In Custom List requiere los siguientes parámetros:

Resultados de la acción

La acción Is In Custom List proporciona los siguientes resultados:

Mensajes de salida

La acción Is In Custom List puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Is In Custom List:

Marcar como importante

Usa la acción Marcar como importante para marcar un caso como importante.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

Ninguno

Resultados de la acción

La acción Marcar como importante proporciona los siguientes resultados:

Mensajes de salida

La acción Marcar como importante puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Marcar como importante:

Abrir URL web

Usa la acción Open Web Url para generar un vínculo del navegador.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Open Web Url requiere los siguientes parámetros:

Resultados de la acción

La acción Open Web Url proporciona los siguientes resultados:

Mensajes de salida

La acción Open Web Url puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Open Web Url:

Pausar el ANS de la alerta

Usa la acción Pausar el ANS de la alerta para pausar el temporizador del Acuerdo de Nivel de Servicio (ANS) de una alerta específica en el caso.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Pausar el ANS de la alerta requiere los siguientes parámetros:

Resultados de la acción

La acción Pausar el ANS de la alerta proporciona los siguientes resultados:

Mensajes de salida

La acción Pausar el ANS de la alerta puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Pausar el ANS de alerta:

Pausar el ANS del caso

Usa la acción Pausar el ANS del caso para pausar el temporizador del Acuerdo de Nivel de Servicio (ANS) de un caso específico.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Pausar el ANS del caso requiere los siguientes parámetros:

Resultados de la acción

La acción Pause Case SLA proporciona los siguientes resultados:

Mensajes de salida

La acción Pausar el ANS del caso puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Pausar el ANS del caso:

Hora de alerta permitida

Usa la acción Permitted Alert Time para verificar si la hora de inicio de una alerta seleccionada cumple con las condiciones de tiempo definidas por el usuario.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Permitted Alert Time requiere los siguientes parámetros:

Resultados de la acción

La acción Permitted Alert Time proporciona los siguientes resultados:

Mensajes de salida

La acción Permitted Alert Time puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Permitted Alert Time:

Ping

Usa la acción Ping para probar la conectividad.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

Ninguno

Resultados de la acción

La acción Ping proporciona los siguientes resultados:

Mensajes de salida

La acción Ping puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:

Generar incidente

Usa la acción Raise Incident para generar un incidente de caso y marcar los casos positivos verdaderos como Critical.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Raise Incident requiere los siguientes parámetros:

Resultados de la acción

La acción Raise Incident proporciona los siguientes resultados:

Mensajes de salida

La acción Search ASM Issues puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Raise Incident:

Quitar etiqueta

Usa la acción Remove Tag para quitar etiquetas de un caso.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Remove Tag requiere los siguientes parámetros:

Resultados de la acción

La acción Remove Tag proporciona los siguientes resultados:

Mensajes de salida

La acción Remove Tag puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Remove Tag:

Quitar de la lista personalizada

Usa la acción Remove From Custom List para quitar de una categoría de lista personalizada especificada las entidades asociadas con una alerta.

Esta acción se ejecuta en todas las entidades de SecOps de Google.

Entradas de acción

La acción Remove From Custom List requiere los siguientes parámetros:

Resultados de la acción

La acción Remove From Custom List proporciona los siguientes resultados:

Mensajes de salida

La acción Remove From Custom List puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Remove From Custom List:

Reanudar el ANS de la alerta

Usa la acción Reanudar el ANS de la alerta para reiniciar el temporizador del Acuerdo de Nivel de Servicio (ANS) de una alerta específica en el caso.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Reanudar el ANS de la alerta proporciona los siguientes resultados:

Mensajes de salida

La acción Reanudar el ANS de la alerta puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Resume Alert SLA:

Reanudar el ANS del caso

Usa la acción Resume Case SLA para reiniciar el temporizador del Acuerdo de Nivel de Servicio (ANS) de un caso específico.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

Ninguno

Resultados de la acción

La acción Reanudar el ANS del caso proporciona los siguientes resultados:

Mensajes de salida

La acción Resume Case SLA puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Resume Case SLA:

Establece el ANS de la alerta

Usa la acción Set Alert SLA para establecer el temporizador del ANS de una alerta.

Esta acción tiene la prioridad más alta y anula el SLA existente definido para la alerta específica.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Set Alert SLA requiere los siguientes parámetros:

Resultados de la acción

La acción Set Alert SLA proporciona los siguientes resultados:

Mensajes de salida

La acción Set Alert SLA puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Set Alert SLA:

Establecer el ANS del caso

Usa la acción Set Case SLA para establecer el ANS de un caso.

Esta acción tiene la prioridad más alta y anula el ANS existente definido para el caso específico.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Set Case SLA requiere los siguientes parámetros:

Resultados de la acción

La acción Set Case SLA proporciona los siguientes resultados:

Mensajes de salida

La acción Search ASM Issues puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Set Case SLA:

Establecer campos personalizados

Usa la acción Set Custom Fields para establecer valores para los campos personalizados.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Set Custom Fields requiere los siguientes parámetros:

    {
      "Custom Field Name 1": "Custom Field Value 1",
      "Custom Field Name 2": "Custom Field Value 2"
    }
    

Resultados de la acción

La acción Set Custom Fields proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Set Custom Fields:

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

Mensajes de salida

La acción Set Custom Fields puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Set Custom Fields:

Establecer la puntuación de riesgo

Usa la acción Set Risk Score para actualizar la puntuación de riesgo de un caso.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Set Risk Score requiere los siguientes parámetros:

Resultados de la acción

La acción Set Risk Score proporciona los siguientes resultados:

Mensajes de salida

La acción Set Risk Score puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Set Risk Score:

Establece el valor del contexto del alcance

Usa la acción Set Scope Context Value para establecer un valor para una clave que se almacena en la base de datos de Google SecOps.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Set Scope Context Value requiere los siguientes parámetros:

Resultados de la acción

La acción Get Scope Context Value proporciona los siguientes resultados:

Mensajes de salida

La acción Set Scope Context Value puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Set Scope Context Value:

Actualiza la descripción del caso

Usa la acción Update Case Description para actualizar la descripción de un caso.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Update Case Description requiere los siguientes parámetros:

Resultados de la acción

La acción Update Case Description proporciona los siguientes resultados:

Mensajes de salida

La acción Update Case Description puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Update Case Description:

Wait For Custom Fields

Usa la acción Wait For Custom Fields para esperar los valores de los campos personalizados y continuar con la ejecución del playbook.

Esta acción no se ejecuta en las entidades de Google SecOps.

Entradas de acción

La acción Wait For Custom Fields requiere los siguientes parámetros:

    {
      "Custom Field": ""
    }
    

    {
      "Custom Field": "VALUE_1"
    }
    

    {
      "Custom Field Name 1": "Custom Field Value 1",
      "Custom Field Name 2": "Custom Field Value 2"
    }
    

Resultados de la acción

La acción Wait For Custom Fields proporciona los siguientes resultados:

Resultado de JSON

En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Wait For Custom Fields:

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

Mensajes de salida

La acción Wait For Custom Fields puede devolver los siguientes mensajes de salida:

Resultado de secuencia de comandos

En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Wait For Custom Fields:

Trabajos

La integración de Siemplify te permite usar los siguientes trabajos:

• Siemplify - Actions Monitor
• Siemplify: Base de datos del recopilador de casos
• Siemplify: Logs Collector

Siemplify: Actions Monitor

Usa el trabajo Siemplify - Actions Monitor para recibir notificaciones de todas las acciones que fallaron individualmente al menos tres veces en las últimas tres horas.

Entradas de trabajo

El trabajo Siemplify - Actions Monitor requiere los siguientes parámetros:

Siemplify: Base de datos del recopilador de casos

Usa el trabajo Siemplify - Cases Collector DB para recuperar y procesar casos de seguridad de un publicador designado.

Entradas de trabajo

El trabajo Siemplify - Cases Collector DB requiere los siguientes parámetros:

Siemplify: Logs Collector

Usa el trabajo Siemplify - Logs Collector para recuperar y procesar registros de un publicador especificado.

Entradas de trabajo

El trabajo Siemplify - Logs Collector requiere los siguientes parámetros:

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.