Intégrer Siemplify à Google SecOps

Ce document explique comment intégrer Siemplify à Google Security Operations (Google SecOps).

Version de l'intégration : 94.0

Cas d'utilisation

L'intégration Siemplify peut répondre aux cas d'utilisation suivants :

• Enquête sur l'hameçonnage : utilisez les fonctionnalités Google SecOps pour automatiser l'analyse des e-mails d'hameçonnage, extraire les indicateurs de compromission (IOC) et les enrichir avec des renseignements sur les menaces.

• Contention des logiciels malveillants : utilisez les fonctionnalités Google SecOps pour isoler automatiquement les points de terminaison infectés, lancer des analyses et mettre en quarantaine les fichiers malveillants dès qu'un logiciel malveillant est détecté.

• Gestion des failles : utilisez les fonctionnalités Google SecOps pour orchestrer les analyses des failles, hiérarchiser les failles en fonction des risques et créer automatiquement des tickets pour la correction.

• Chasse aux menaces : utilisez les fonctionnalités Google SecOps pour automatiser l'exécution des requêtes de chasse aux menaces dans différents outils et ensembles de données de sécurité.

• Tri des alertes de sécurité : utilisez les fonctionnalités Google SecOps pour enrichir automatiquement les alertes de sécurité avec des informations contextuelles, les corréler avec d'autres événements et les hiérarchiser en fonction de leur gravité.

• Réponse aux incidents : utilisez les fonctionnalités Google SecOps pour orchestrer l'ensemble du processus de réponse aux incidents, de la détection initiale à la maîtrise et à l'éradication.

• Rapports de conformité : utilisez les fonctionnalités Google SecOps pour automatiser la collecte et l'analyse des données de sécurité pour les rapports de conformité.

Paramètres d'intégration

L'intégration Siemplify nécessite les paramètres suivants :

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.

Actions

Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.

Ajouter un insight sur une entité

Utilisez l'action Add Entity Insight (Ajouter un insight sur l'entité) pour ajouter un insight à l'entité Google SecOps ciblée dans Siemplify.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Ajouter un insight sur une entité nécessite les paramètres suivants :

Sorties d'action

L'action Ajouter un insight d'entité fournit les sorties suivantes :

Messages de sortie

L'action Ajouter un insight sur une entité peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter un insight sur l'entité :

Ajouter un insight général

Utilisez l'action Ajouter un insight général pour ajouter un insight général à la demande.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Ajouter un insight général nécessite les paramètres suivants :

Sorties d'action

L'action Ajouter un insight général fournit les sorties suivantes :

Messages de sortie

L'action Ajouter un insight général peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant liste la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter un insight général :

Ajouter des tags aux demandes similaires

Utilisez l'action Ajouter des tags aux demandes similaires pour ajouter des tags aux demandes similaires.

Pour trouver des cas similaires, l'action utilise la fonction siemplify.get_similar_cases() avec les paramètres récupérés, qui renvoie une liste d'ID de cas.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Ajouter des tags aux demandes similaires nécessite les paramètres suivants :

Sorties d'action

L'action Ajouter des tags aux demandes similaires fournit les résultats suivants :

Messages de sortie

L'action Ajouter des tags aux cas similaires peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ajouter des tags aux demandes similaires :

Ajouter à une liste personnalisée

Utilisez l'action Ajouter à la liste personnalisée pour ajouter un identifiant d'entité à une liste personnalisée catégorisée et effectuer des comparaisons ultérieures dans d'autres actions.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Ajouter à une liste personnalisée nécessite les paramètres suivants :

Sorties d'action

L'action Ajouter à une liste personnalisée fournit les sorties suivantes :

Messages de sortie

L'action Ajouter à une liste personnalisée peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter à la liste personnalisée :

Attribuer un cas

Utilisez l'action Attribuer une demande pour attribuer une demande à un utilisateur ou à un groupe d'utilisateurs spécifique.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Assign Case (Attribuer la demande) nécessite les paramètres suivants :

Sorties d'action

L'action Assign Case (Attribuer une demande) fournit les résultats suivants :

Messages de sortie

L'action Ajouter à une liste personnalisée peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Assign Case (Attribuer une demande) :

Associer un playbook à une alerte

Utilisez l'action Associer un playbook à une alerte pour associer un playbook spécifique à une alerte.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Associer un playbook à une alerte nécessite les paramètres suivants :

Sorties d'action

L'action Associer un playbook à une alerte fournit les résultats suivants :

Messages de sortie

L'action Rechercher des graphiques peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Associer un playbook à une alerte :

Commentaire sur la demande

Utilisez l'action Commentaire sur la demande pour ajouter un commentaire à la demande dans laquelle l'alerte actuelle est regroupée.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Commentaire sur la demande nécessite les paramètres suivants :

Sorties d'action

L'action Case Comment (Commentaire sur la demande) fournit les résultats suivants :

Messages de sortie

L'action Add Vote To Entity peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Commentaire sur la demande :

Tag de demande

Utilisez l'action Tag de la fiche pour ajouter un tag à la fiche dans laquelle l'alerte actuelle est regroupée.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Tag de demande nécessite les paramètres suivants :

Sorties d'action

L'action Tag de requête fournit les résultats suivants :

Messages de sortie

L'action Taguer la demande peut renvoyer les messages de résultat suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Tag de requête :

Modifier la priorité de l'alerte

Utilisez l'action Modifier la priorité de l'alerte pour modifier la priorité d'une alerte dans une demande.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Modifier la priorité de l'alerte nécessite les paramètres suivants :

Sorties d'action

L'action Modifier la priorité de l'alerte fournit les résultats suivants :

Messages de sortie

L'action Add Vote To Entity peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Modifier la priorité de l'alerte :

Modifier l'étape de traitement du cas

Utilisez l'action Modifier l'étape de traitement du cas pour modifier l'étape de traitement du cas.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Modifier l'état de la demande nécessite les paramètres suivants :

Sorties d'action

L'action Modifier l'état de la demande fournit les résultats suivants :

Messages de sortie

L'action Add Vote To Entity peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Modifier l'état de la demande :

Changer la priorité

Utilisez l'action Modifier la priorité pour modifier la priorité de la demande d'assistance en cours d'examen.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Modifier la priorité nécessite les paramètres suivants :

Sorties d'action

L'action Modifier la priorité fournit les résultats suivants :

Messages de sortie

L'action Add Vote To Entity peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Modifier la priorité :

Fermer l'alerte

Utilisez l'action Fermer l'alerte pour fermer l'alerte.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Fermer l'alerte nécessite les paramètres suivants :

Sorties d'action

L'action Fermer l'alerte fournit les résultats suivants :

Messages de sortie

L'action Add Vote To Entity peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Fermer l'alerte :

Clôturer le cas

Utilisez l'action Clôturer la demande pour clôturer la demande.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Fermer la demande nécessite les paramètres suivants :

Sorties d'action

L'action Close Case (Clore la demande) fournit les résultats suivants :

Messages de sortie

L'action Add Vote To Entity peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Close Case (Fermer la demande) :

Créer une entité

Utilisez l'action Créer une entité pour créer une entité et l'ajouter à une alerte.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Créer une entité nécessite les paramètres suivants :

Sorties d'action

L'action Créer une entité fournit les sorties suivantes :

Messages de sortie

L'action Create Entity (Créer une entité) peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Créer une entité :

Créer un résumé Gemini pour une demande

Utilisez l'action Créer un récapitulatif Gemini pour la demande afin de créer un récapitulatif Gemini pour une demande et de l'ajouter à une alerte.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Créer un résumé Gemini de la demande fournit les résultats suivants :

Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Créer un résumé de la demande Gemini :

{
  "summary": "On the Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214), user vanshikavw_google_com initiated the process curl (SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140) to create the malware file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.\n*  VirusTotal identifies the SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 as a virus.eicar/test.\n*  CURL is associated with multiple actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961.\n*  CURL is known to use MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588.\n*  A GTI MALWARE search did not find any information about eicar_test_vanshikavw-test-new.\n*  A GTI IP_ADDRESS search did not find any information about 10.150.0.3 or 34.85.128.214.", 
  "next_steps": ["Isolate instance-1 to prevent any potential lateral movement or further compromise of the network, as the curl process is associated with multiple threat actors.", 
  "Investigate the user account vanshikavw_google_com to determine if the user's credentials have been compromised or if the user initiated the curl process intentionally, as the curl process is associated with multiple threat actors.", 
  "Analyze the network traffic to and from the IP addresses 10.150.0.3 and 34.85.128.214 for any suspicious communication patterns, as the curl process is associated with multiple threat actors.", 
  "Examine the process execution logs on instance-1 for any other unusual or unauthorized activities, as the curl process is associated with multiple threat actors.", 
  "Review the configuration of the Linux agent on instance-1 to ensure that it is properly secured and that no unauthorized modifications have been made, as the curl process is associated with multiple threat actors."], 
  "reasons": ["The case involves a Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214) where user vanshikavw_google_com initiated the process curl to create the file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.", 
  "The SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 of the curl process is identified by VirusTotal as virus.eicar/test, indicating it is a known test virus.", 
  "The process CURL is associated with multiple threat actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961, suggesting a potential link to malicious activity.", 
  "CURL is known to use various MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588, indicating a wide range of potential malicious behaviors.", 
  "The file eicar_test_vanshikavw-test-new was not found in GTI MALWARE searches, and the IP addresses 10.150.0.3 and 34.85.128.214 were not found in GTI IP_ADDRESS searches."]}

Messages de sortie

L'action Créer un résumé de la demande Gemini peut renvoyer les messages de résultat suivants :

Résultat du script

Le tableau suivant liste la valeur de la sortie du résultat du script lorsque vous utilisez l'action Créer un récapitulatif Gemini de la demande :

Créer ou mettre à jour des propriétés d'entité

Utilisez l'action Create Or Update Entity Properties (Créer ou mettre à jour les propriétés d'entité) pour créer ou modifier les propriétés des entités dans le champ d'application de l'entité.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Create Or Update Entity Properties (Créer ou mettre à jour les propriétés d'une entité) nécessite les paramètres suivants :

Sorties d'action

L'action Create Or Update Entity Properties (Créer ou mettre à jour les propriétés de l'entité) fournit les sorties suivantes :

Messages de sortie

L'action Add Vote To Entity peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Create Or Update Entity Properties (Créer ou mettre à jour les propriétés de l'entité) :

Obtenir les détails d'une demande

Utilisez l'action Obtenir les détails du cas pour obtenir toutes les données d'un cas (y compris les commentaires, les informations sur les entités, les insights, les playbooks exécutés, les informations sur les alertes et les événements).

Cette action ne s'exécute pas sur les entités Google SecOps.

Entrées d'action

L'action Get Case Details (Obtenir les détails de la demande) nécessite les paramètres suivants :

Sorties d'action

L'action Obtenir les détails de la demande fournit les sorties suivantes :

Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Obtenir les détails de la demande :

{
"id": 24879,
"creationTimeUnixTimeInMs": 1750862500562,
"modificationTimeUnixTimeInMs": 1750862500562,
"name": "Malware",
"priority": -1,
"isImportant": false,
"isIncident": false,
"startTimeUnixTimeInMs": 1727243021999,
"endTimeUnixTimeInMs": 1727243022479,
"assignedUser": "@Tier1",
"description": null,
"isTestCase": true,
"type": 1,
"stage": "Triage",
"environment": "Default Environment",
"status": 1,
"incidentId": null,
"tags": ["hi", "Simulated Case"],
"alertCards": [{
  "id": 172354,
  "creationTimeUnixTimeInMs": 1750862500651,
  "modificationTimeUnixTimeInMs": 1750862500651,
  "identifier": "EICAR_TEST_VANSHIKAVW-TEST-NEW0CC43705-04A7-43FD-88CD-B3E7FECA881D",
  "status": 0,
  "name": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "priority": -1,
  "workflowsStatus": 1,
  "slaExpirationUnixTime": null,
  "slaCriticalExpirationUnixTime": null,
  "startTime": 1727243021999,
  "endTime": 1727243022479,
  "alertGroupIdentifier": "MalwareSFBrxjAXvKJsJyKe5iQalf00zrv/QwX966dRoEyP2eA=_8cc160b5-7039-421c-926c-1a98073f11d2",
  "eventsCount": 3,
  "title": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "ruleGenerator": "Malware",
  "deviceProduct": "SentinelOneV2",
  "deviceVendor": "SentinelOneV2",
  "playbookAttached": "Testing",
  "playbookRunCount": 1,
  "isManualAlert": false,
  "sla": {
    "slaExpirationTime": null,
    "criticalExpirationTime": null,
    "expirationStatus": 2,
    "remainingTimeSinceLastPause": null
    },
  "fieldsGroups": [],
  "sourceUrl": null,
  "sourceRuleUrl": null,
  "siemAlertId": null,
  "relatedCases": [],
  "lastSourceUpdateUnixTimeInMs": null,
  "caseId": 24879,
  "nestingDepth": 0
  }],
"isOverflowCase": false,
"isManualCase": false,
"slaExpirationUnixTime": null,
"slaCriticalExpirationUnixTime": null,
"stageSlaExpirationUnixTimeInMs": null,
"stageSlaCriticalExpirationUnixTimeInMs": null,
"canOpenIncident": false,
"sla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null
  },
"stageSla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null},
  "relatedAlertTicketId": null,
  "relatedAlertCards": []
  }

Messages de sortie

L'action Obtenir les détails de la demande peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant indique la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les détails de la demande :

Obtenir la valeur du contexte du connecteur

Utilisez l'action Obtenir la valeur du contexte du connecteur pour obtenir une valeur stockée sous une clé spécifiée dans la base de données Google SecOps pour un contexte de connecteur.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Obtenir la valeur du contexte du connecteur nécessite les paramètres suivants :

Sorties d'action

L'action Obtenir la valeur du contexte du connecteur fournit les sorties suivantes :

Table du mur des cas

L'action Obtenir la valeur du contexte du connecteur peut générer le tableau suivant :

Nom de la table : Connector

Colonnes du tableau :

• Identifiant du connecteur
• Clé
• Valeur

Messages de sortie

L'action Obtenir la valeur du contexte du connecteur peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant indique la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir la valeur du contexte du connecteur :

Obtenir les valeurs des champs personnalisés

Utilisez l'action Obtenir les valeurs des champs personnalisés pour récupérer les valeurs actuelles du champ personnalisé en fonction du champ d'application spécifié.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Obtenir les valeurs des champs personnalisés nécessite les paramètres suivants :

Sorties d'action

L'action Obtenir les valeurs des champs personnalisés fournit les sorties suivantes :

Résultat JSON

L'exemple suivant montre le résultat JSON obtenu lors de l'utilisation de l'action Obtenir les valeurs des champs personnalisés :

[{
   "Case": {
       "Case Custom Field Name 1": "Updated Custom Field Value",
       "Case Custom Field Name 2": "Updated Custom Field Value"
   },
   "Alert": {
       "Alert Custom Field Name 1": "Updated Custom Field Value",
       "Alert Custom Field Name 2": "Updated Custom Field Value"
   }
}]

Messages de sortie

L'action Obtenir les valeurs des champs personnalisés peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les valeurs des champs personnalisés :

Obtenir la valeur du contexte de portée

Utilisez l'action Obtenir la valeur du contexte du champ d'application pour obtenir une valeur stockée sous une clé spécifiée dans la base de données Google SecOps.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Obtenir la valeur du contexte de portée nécessite les paramètres suivants :

Sorties d'action

L'action Obtenir la valeur du contexte de portée fournit les sorties suivantes :

Table du mur des cas

L'action Obtenir la valeur du contexte de portée peut générer le tableau suivant :

Nom de la table : SCOPE

Colonnes du tableau :

• Clé
• Valeur

Messages de sortie

L'action Obtenir la valeur du contexte de portée peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir la valeur du contexte de portée :

Obtenir des demandes similaires

Utilisez l'action Get Similar Cases (Obtenir des cas similaires) pour rechercher des cas similaires et renvoyer leurs ID.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Get Similar Cases (Obtenir des cas similaires) nécessite les paramètres suivants :

L'action Obtenir des demandes similaires applique l'opérateur logique AND aux paramètres Rule Generator, Port, Category Outcome, Entity Identifier, Include Open Cases et Include Closed Cases pour les utiliser dans la même recherche.

Sorties d'action

L'action Obtenir des cas similaires fournit les sorties suivantes :

Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Similar Cases (Obtenir des cas similaires) :

{
  "results": [{
    "id": 23874, 
    "name": "Malware", 
    "tags": ["hi", "Simulated Case"], 
    "start time": "2024-09-25 05:43:41.999000+00:00", 
    "start time unix": 1727243021999, 
    "last modified": "2025-06-19 13:24:01.062000+00:00", 
    "priority": "Informative", 
    "assigned user": "@Tier1", 
    "matching_criteria": {
        "ruleGenerator": true, 
        "port": true, 
        "outcome": true, 
        "entities": true
      }, 
    "matched_entities": [
      {"entity": "INSTANCE-1", "type": "HOSTNAME", "isSuspicious": false}, 
      {"entity": "10.150.0.3", "type": "ADDRESS", "isSuspicious": false}, {"entity": "172.17.0.1", "type": "ADDRESS", "isSuspicious": false}, {"entity": "VANSHIKAVW_GOOGLE_COM", "type": "USERUNIQNAME", "isSuspicious": false}, 
      {"entity": "CURL", "type": "PROCESS", "isSuspicious": false}, {"entity": "EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}, 
      {"entity": "3395856CE81F2B7382DEE72602F798B642F14140", "type": "FILEHASH", "isSuspicious": false}, 
      {"entity": "34.85.128.214", "type": "ADDRESS", "isSuspicious": false}, 
      {"entity": "/HOME/VANSHIKAVW_GOOGLE_COM/EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}
      ], 
      "status": "Open"}], 
      "stats": 
      {"Malicious": 0.0, "Is Important": 0.0, "Is Incident": 0.0, "Status Open": 100.0}, 
      "platform_url": "https://soarapitest.backstory.chronicle.security/"
}

Messages de sortie

L'action Obtenir des cas similaires peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Obtenir des cas similaires :

Instruction

Utilisez l'action Instruction pour définir des instructions pour un analyste.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Instruction nécessite les paramètres suivants :

Sorties d'action

L'action Instruction fournit les sorties suivantes :

Messages de sortie

L'action Add Vote To Entity peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Instruction :

Est dans la liste personnalisée

Utilisez l'action Est dans la liste personnalisée pour vérifier si l'identifiant d'entité fait partie d'une liste personnalisée spécifiée.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Est dans la liste personnalisée nécessite les paramètres suivants :

Sorties d'action

L'action Est dans la liste personnalisée fournit les sorties suivantes :

Messages de sortie

L'action Est dans la liste personnalisée peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Est dans la liste personnalisée :

Marquer comme important

Utilisez l'action Marquer comme important pour marquer une demande comme importante.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Marquer comme important fournit les résultats suivants :

Messages de sortie

L'action Marquer comme important peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Marquer comme important :

URL Open Web

Utilisez l'action Ouvrir l'URL Web pour générer un lien de navigateur.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Ouvrir l'URL du Web ouvert nécessite les paramètres suivants :

Sorties d'action

L'action Ouvrir l'URL Web fournit les sorties suivantes :

Messages de sortie

L'action Ouvrir l'URL Web peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant indique la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ouvrir l'URL Web :

Mettre en pause le SLA lié à l'alerte

Utilisez l'action Mettre en pause le SLA lié à l'alerte pour mettre en pause le minuteur du contrat de niveau de service (SLA) d'une alerte spécifique dans la demande.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Mettre en pause le SLA lié à l'alerte nécessite les paramètres suivants :

Sorties d'action

L'action Mettre en pause le SLA lié à l'alerte fournit les résultats suivants :

Messages de sortie

L'action Mettre en pause le SLA lié à l'alerte peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Suspendre l'alerte SLA :

Mettre en pause le SLA du cas

Utilisez l'action Mettre en pause le SLA du cas pour suspendre le minuteur du contrat de niveau de service (SLA) pour un cas spécifique.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Mettre en pause le SLA du cas nécessite les paramètres suivants :

Sorties d'action

L'action Mettre en pause le SLA du cas fournit les résultats suivants :

Messages de sortie

L'action Mettre en pause le SLA du cas peut renvoyer les messages de résultat suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Suspendre le délai de traitement de la demande :

Heure d'alerte autorisée

Utilisez l'action Heure d'alerte autorisée pour vérifier si l'heure de début d'une alerte sélectionnée respecte les conditions temporelles définies par l'utilisateur.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Heure d'alerte autorisée nécessite les paramètres suivants :

Sorties d'action

L'action Heure d'alerte autorisée fournit les résultats suivants :

Messages de sortie

L'action Permitted Alert Time (Heure d'alerte autorisée) peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Heure d'alerte autorisée :

Ping

Utilisez l'action Ping pour tester la connectivité.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Ping fournit les résultats suivants :

Messages de sortie

L'action Ping peut renvoyer les messages de résultat suivants :

Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :

Signaler un incident

Utilisez l'action Signaler un incident pour signaler un incident et marquer les cas de faux positifs comme Critical.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Signaler un incident nécessite les paramètres suivants :

Sorties d'action

L'action Signaler un incident fournit les résultats suivants :

Messages de sortie

L'action Search ASM Issues (Rechercher les problèmes ASM) peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Signaler un incident :

Supprimer le tag

Utilisez l'action Supprimer le tag pour supprimer des tags d'une demande.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Supprimer le tag nécessite les paramètres suivants :

Sorties d'action

L'action Supprimer le tag fournit les sorties suivantes :

Messages de sortie

L'action Supprimer le tag peut renvoyer les messages de résultat suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Supprimer le tag :

Supprimer d'une liste personnalisée

Utilisez l'action Supprimer de la liste personnalisée pour supprimer les entités associées à une alerte d'une catégorie de liste personnalisée spécifiée.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Supprimer de la liste personnalisée nécessite les paramètres suivants :

Sorties d'action

L'action Supprimer de la liste personnalisée fournit les sorties suivantes :

Messages de sortie

L'action Supprimer de la liste personnalisée peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Supprimer de la liste personnalisée :

Réactiver le SLA lié à l'alerte

Utilisez l'action Réactiver le SLA lié à l'alerte pour redémarrer le minuteur du contrat de niveau de service (SLA) pour une alerte spécifique dans la demande.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Réactiver le SLA lié à l'alerte fournit les résultats suivants :

Messages de sortie

L'action Réactiver le SLA lié à l'alerte peut renvoyer les messages de résultat suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Reprendre le contrat de niveau de service d'alerte :

Réactiver le SLA du cas

Utilisez l'action Réactiver le SLA du cas pour redémarrer le minuteur du contrat de niveau de service (SLA) pour un cas spécifique.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

Aucun

Sorties d'action

L'action Réactiver le SLA du cas fournit les résultats suivants :

Messages de sortie

L'action Réactiver le SLA du cas peut renvoyer les messages de résultat suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Reprendre le SLA de la demande :

Définir le SLA d'une alerte

Utilisez l'action Définir le délai de réponse pour l'alerte pour définir le minuteur de délai de réponse pour une alerte.

Cette action a la priorité la plus élevée et remplace le SLA existant défini pour l'alerte spécifique.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Définir le SLA d'alerte nécessite les paramètres suivants :

Sorties d'action

L'action Définir le SLA d'alerte fournit les résultats suivants :

Messages de sortie

L'action Set Alert SLA (Définir le SLA d'alerte) peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Définir le contrat de niveau de service des alertes :

Définir le SLA pour une demande

Utilisez l'action Définir le SLA de la demande pour définir le SLA d'une demande.

Cette action a la priorité la plus élevée et remplace le SLA existant défini pour la demande spécifique.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Définir le SLA de la demande nécessite les paramètres suivants :

Sorties d'action

L'action Définir le SLA de la demande fournit les résultats suivants :

Messages de sortie

L'action Search ASM Issues (Rechercher les problèmes ASM) peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Définir le SLA de la demande :

Définir des champs personnalisés

Utilisez l'action Définir des champs personnalisés pour définir des valeurs pour les champs personnalisés.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Définir des champs personnalisés nécessite les paramètres suivants :

    {
      "Custom Field Name 1": "Custom Field Value 1",
      "Custom Field Name 2": "Custom Field Value 2"
    }
    

Sorties d'action

L'action Définir des champs personnalisés fournit les sorties suivantes :

Résultat JSON

L'exemple suivant montre le résultat JSON obtenu lors de l'utilisation de l'action Définir des champs personnalisés :

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

Messages de sortie

L'action Définir des champs personnalisés peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Définir des champs personnalisés :

Définir le score de risque

Utilisez l'action Définir le score de risque pour mettre à jour le score de risque d'une demande.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Définir le score de risque nécessite les paramètres suivants :

Sorties d'action

L'action Définir le score de risque fournit les résultats suivants :

Messages de sortie

L'action Définir le score de risque peut renvoyer les messages de résultat suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Définir le score de risque :

Définir la valeur du contexte de portée

Utilisez l'action Définir la valeur du contexte de portée pour définir une valeur pour une clé stockée dans la base de données Google SecOps.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Définir la valeur du contexte de portée nécessite les paramètres suivants :

Sorties d'action

L'action Obtenir la valeur du contexte de portée fournit les sorties suivantes :

Messages de sortie

L'action Définir la valeur du contexte de portée peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Définir la valeur du contexte de portée :

Modifier la description de la demande

Utilisez l'action Mettre à jour la description de la demande pour modifier la description d'une demande.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Mettre à jour la description de la demande nécessite les paramètres suivants :

Sorties d'action

L'action Mettre à jour la description de la demande fournit les résultats suivants :

Messages de sortie

L'action Update Case Description (Mettre à jour la description de la demande) peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Mettre à jour la description de la demande :

Attendre les champs personnalisés

Utilisez l'action Attendre les champs personnalisés pour attendre les valeurs des champs personnalisés avant de poursuivre l'exécution du playbook.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Attendre les champs personnalisés nécessite les paramètres suivants :

    {
      "Custom Field": ""
    }
    

    {
      "Custom Field": "VALUE_1"
    }
    

    {
      "Custom Field Name 1": "Custom Field Value 1",
      "Custom Field Name 2": "Custom Field Value 2"
    }
    

Sorties d'action

L'action Attendre les champs personnalisés fournit les sorties suivantes :

Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Attendre les champs personnalisés :

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

Messages de sortie

L'action Attendre les champs personnalisés peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Attendre les champs personnalisés :

Jobs

L'intégration Siemplify vous permet d'utiliser les jobs suivants :

• Siemplify – Actions Monitor
• Siemplify – Base de données du collecteur de demandes
• Siemplify – Collecteur de journaux

Siemplify : Actions Monitor

Utilisez le job Siemplify - Actions Monitor pour recevoir des notifications pour toutes les actions qui ont échoué individuellement au moins trois fois au cours des trois dernières heures.

Entrées de tâches

Le job Siemplify - Actions Monitor nécessite les paramètres suivants :

Siemplify : base de données du collecteur de cas

Utilisez le job Siemplify - Cases Collector DB pour récupérer et traiter les demandes de sécurité d'un éditeur désigné.

Entrées de tâches

Le job Siemplify - Cases Collector DB nécessite les paramètres suivants :

Siemplify : collecteur de journaux

Utilisez le job Siemplify – Collecteur de journaux pour récupérer et traiter les journaux d'un éditeur spécifié.

Entrées de tâches

Le job Siemplify - Logs Collector nécessite les paramètres suivants :

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.