Intégrer Siemplify à Google SecOps

Version de l'intégration : 94.0

Ce document explique comment intégrer Siemplify à Google Security Operations (Google SecOps).

Cas d'utilisation

L'intégration Siemplify peut répondre aux cas d'utilisation suivants :

• Investigation sur l'hameçonnage : utilisez les fonctionnalités de Google SecOps pour automatiser l'analyse des e-mails d'hameçonnage, extraire les indicateurs de compromission (IOC) et les enrichir avec des renseignements sur les menaces.

• Contention des logiciels malveillants : utilisez les fonctionnalités Google SecOps pour isoler automatiquement les points de terminaison infectés, lancer des analyses et mettre en quarantaine les fichiers malveillants dès qu'un logiciel malveillant est détecté.

• Gestion des failles : utilisez les fonctionnalités Google SecOps pour orchestrer les analyses de failles, hiérarchiser les failles en fonction du risque et créer automatiquement des tickets pour la correction.

• Chasse aux menaces : utilisez les fonctionnalités Google SecOps pour automatiser l'exécution des requêtes de chasse aux menaces dans différents outils et ensembles de données de sécurité.

• Tri des alertes de sécurité : utilisez les fonctionnalités Google SecOps pour enrichir automatiquement les alertes de sécurité avec des informations contextuelles, les corréler avec d'autres événements et les hiérarchiser en fonction de leur gravité.

• Réponse aux incidents : utilisez les fonctionnalités Google SecOps pour orchestrer l'ensemble du processus de réponse aux incidents, de la détection initiale à la neutralisation et à l'éradication.

• Rapports de conformité : utilisez les fonctionnalités Google SecOps pour automatiser la collecte et l'analyse des données de sécurité pour les rapports de conformité.

Paramètres d'intégration

L'intégration Siemplify nécessite les paramètres suivants :

Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Si nécessaire, vous pourrez apporter des modifications ultérieurement. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.

Actions

Pour en savoir plus sur les actions, consultez Répondre aux actions en attente dans Votre bureau et Effectuer une action manuelle.

Ajouter un insight sur une entité

Utilisez l'action Add Entity Insight (Ajouter un insight sur l'entité) pour ajouter un insight à une entité Google SecOps dans Siemplify.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Ajouter un insight sur une entité nécessite les paramètres suivants :

Sorties d'action

L'action Ajouter un insight d'entité fournit les sorties suivantes :

Messages de sortie

L'action Ajouter un insight sur une entité peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter un insight sur l'entité :

Ajouter un insight général

Utilisez l'action Ajouter un insight général pour ajouter un insight général à la demande.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Ajouter un insight général nécessite les paramètres suivants :

Sorties d'action

L'action Ajouter un insight général fournit les résultats suivants :

Messages de sortie

L'action Ajouter un insight général peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant indique la valeur du résultat du script lorsque vous utilisez l'action Ajouter un insight général :

Ajouter des tags aux demandes similaires

Utilisez l'action Ajouter des tags aux demandes similaires pour ajouter des tags aux demandes similaires.

Pour trouver des cas similaires, l'action utilise la fonction siemplify.get_similar_cases() afin de récupérer une liste d'ID de cas en fonction d'un ensemble de critères et de paramètres.

L'opérateur logique AND est appliqué aux paramètres Rule Generator, Port, Category Outcome et Entity Identifier pour filtrer les cas qui correspondent à tous les critères spécifiés.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Ajouter des tags aux requêtes similaires nécessite les paramètres suivants :

Sorties d'action

L'action Ajouter des tags aux demandes similaires fournit les résultats suivants :

Messages de sortie

L'action Ajouter des tags aux cas similaires peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ajouter des tags aux cas similaires :

Ajouter à une liste personnalisée

Utilisez l'action Ajouter à la liste personnalisée pour ajouter un identifiant d'entité à une liste personnalisée catégorisée et effectuer des comparaisons ultérieures dans d'autres actions.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Ajouter à une liste personnalisée nécessite les paramètres suivants :

Sorties d'action

L'action Ajouter à une liste personnalisée fournit les sorties suivantes :

Messages de sortie

L'action Ajouter à une liste personnalisée peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter à la liste personnalisée :

Attribuer un cas

Utilisez l'action Attribuer la demande pour attribuer la demande à un utilisateur ou à un groupe d'utilisateurs spécifique.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Assign Case (Attribuer une demande) nécessite les paramètres suivants :

Sorties d'action

L'action Assign Case (Attribuer une demande) fournit les résultats suivants :

Messages de sortie

L'action Ajouter à une liste personnalisée peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Attribuer une demande :

Associer un playbook à une alerte

Utilisez l'action Associer un playbook à une alerte pour associer un playbook spécifique à l'alerte.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Associer un playbook à une alerte nécessite les paramètres suivants :

Sorties d'action

L'action Associer un playbook à une alerte fournit les résultats suivants :

Messages de sortie

L'action Rechercher des graphiques peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Associer un playbook à une alerte :

Commentaire sur la demande

Utilisez l'action Commentaire sur la demande pour ajouter un commentaire à la demande dans laquelle l'alerte actuelle est regroupée.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Commentaire sur la demande nécessite les paramètres suivants :

Sorties d'action

L'action Commentaire sur la demande fournit les résultats suivants :

Messages de sortie

L'action Add Vote To Entity peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Commentaire sur la demande :

Tag de demande

Utilisez l'action Ajouter un tag à la demande pour ajouter un tag à la demande dans laquelle l'alerte actuelle est regroupée.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Tag de demande nécessite les paramètres suivants :

Sorties d'action

L'action Tag de requête fournit les résultats suivants :

Messages de sortie

L'action Tag de requête peut renvoyer les messages de résultat suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Tag de requête :

Modifier la priorité de l'alerte

Utilisez l'action Modifier la priorité de l'alerte pour modifier la priorité d'une alerte dans une demande.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Modifier la priorité de l'alerte nécessite les paramètres suivants :

Sorties d'action

L'action Modifier la priorité de l'alerte fournit les résultats suivants :

Messages de sortie

L'action Add Vote To Entity peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Modifier la priorité de l'alerte :

Modifier l'étape de traitement du cas

Utilisez l'action Modifier l'étape de traitement du cas pour modifier l'étape de traitement du cas.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Modifier l'état de la demande nécessite les paramètres suivants :

Sorties d'action

L'action Modifier l'état de la demande fournit les résultats suivants :

Messages de sortie

L'action Add Vote To Entity peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Modifier l'état de la demande :

Changer la priorité

Utilisez l'action Modifier la priorité pour modifier la priorité de la demande.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Modifier la priorité nécessite les paramètres suivants :

Sorties d'action

L'action Modifier la priorité fournit les résultats suivants :

Messages de sortie

L'action Add Vote To Entity peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Modifier la priorité :

Fermer l'alerte

Utilisez l'action Fermer l'alerte pour fermer l'alerte.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Fermer l'alerte nécessite les paramètres suivants :

Sorties d'action

L'action Fermer l'alerte fournit les résultats suivants :

Messages de sortie

L'action Add Vote To Entity peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Fermer l'alerte :

Clôturer le cas

Utilisez l'action Clôturer la demande pour clôturer la demande.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Fermer la demande nécessite les paramètres suivants :

Sorties d'action

L'action Close Case (Clore la demande) fournit les résultats suivants :

Messages de sortie

L'action Add Vote To Entity peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Close Case (Fermer la demande) :

Créer une entité

Utilisez l'action Créer une entité pour créer une entité et l'ajouter à une alerte.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Créer une entité nécessite les paramètres suivants :

Sorties d'action

L'action Create Entity (Créer une entité) fournit les sorties suivantes :

Messages de sortie

L'action Create Entity (Créer une entité) peut renvoyer les messages de résultat suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Créer une entité :

Créer un résumé Gemini pour une demande

Utilisez l'action Créer un résumé Gemini de la demande pour créer un résumé Gemini de la demande et l'ajouter à une alerte.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

Aucune.

Sorties d'action

L'action Créer un résumé Gemini de la demande fournit les résultats suivants :

Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Créer un résumé Gemini de la demande :

{
  "summary": "On the Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214), user vanshikavw_google_com initiated the process curl (SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140) to create the malware file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.\n*  VirusTotal identifies the SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 as a virus.eicar/test.\n*  CURL is associated with multiple actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961.\n*  CURL is known to use MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588.\n*  A GTI MALWARE search did not find any information about eicar_test_vanshikavw-test-new.\n*  A GTI IP_ADDRESS search did not find any information about 10.150.0.3 or 34.85.128.214.", 
  "next_steps": ["Isolate instance-1 to prevent any potential lateral movement or further compromise of the network, as the curl process is associated with multiple threat actors.", 
  "Investigate the user account vanshikavw_google_com to determine if the user's credentials have been compromised or if the user initiated the curl process intentionally, as the curl process is associated with multiple threat actors.", 
  "Analyze the network traffic to and from the IP addresses 10.150.0.3 and 34.85.128.214 for any suspicious communication patterns, as the curl process is associated with multiple threat actors.", 
  "Examine the process execution logs on instance-1 for any other unusual or unauthorized activities, as the curl process is associated with multiple threat actors.", 
  "Review the configuration of the Linux agent on instance-1 to ensure that it is properly secured and that no unauthorized modifications have been made, as the curl process is associated with multiple threat actors."], 
  "reasons": ["The case involves a Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214) where user vanshikavw_google_com initiated the process curl to create the file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.", 
  "The SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 of the curl process is identified by VirusTotal as virus.eicar/test, indicating it is a known test virus.", 
  "The process CURL is associated with multiple threat actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961, suggesting a potential link to malicious activity.", 
  "CURL is known to use various MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588, indicating a wide range of potential malicious behaviors.", 
  "The file eicar_test_vanshikavw-test-new was not found in GTI MALWARE searches, and the IP addresses 10.150.0.3 and 34.85.128.214 were not found in GTI IP_ADDRESS searches."]
}

Messages de sortie

L'action Créer un récapitulatif Gemini de la demande peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant liste la valeur de la sortie du résultat du script lorsque vous utilisez l'action Créer un récapitulatif Gemini de la demande :

Créer ou mettre à jour les propriétés d'une entité

Utilisez l'action Créer ou mettre à jour les propriétés d'une entité pour créer ou modifier les propriétés des entités dans le champ d'application de l'entité.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Create Or Update Entity Properties (Créer ou mettre à jour les propriétés d'une entité) nécessite les paramètres suivants :

Sorties d'action

L'action Create Or Update Entity Properties (Créer ou mettre à jour les propriétés de l'entité) fournit les sorties suivantes :

Messages de sortie

L'action Create Or Update Entity Properties (Créer ou mettre à jour les propriétés d'une entité) peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Create Or Update Entity Properties (Créer ou mettre à jour les propriétés de l'entité) :

Recevoir des alertes sur les demandes

Utilisez l'action Get Case Alerts (Obtenir les alertes d'assistance) pour récupérer les alertes liées aux demandes spécifiées.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Get Case Alerts (Obtenir les alertes d'assistance) nécessite les paramètres suivants :

Obtenir les détails d'une demande

Utilisez l'action Obtenir les détails de la demande pour obtenir toutes les données d'une demande (y compris les commentaires, les informations sur les entités, les insights, les playbooks exécutés, les informations sur les alertes et les événements).

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Obtenir les détails de la demande nécessite les paramètres suivants :

Sorties d'action

L'action Obtenir les détails de la demande fournit les sorties suivantes :

Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Obtenir les détails de la demande :

{
"id": 24879,
"creationTimeUnixTimeInMs": 1750862500562,
"modificationTimeUnixTimeInMs": 1750862500562,
"name": "Malware",
"priority": -1,
"isImportant": false,
"isIncident": false,
"startTimeUnixTimeInMs": 1727243021999,
"endTimeUnixTimeInMs": 1727243022479,
"assignedUser": "@Tier1",
"description": null,
"isTestCase": true,
"type": 1,
"stage": "Triage",
"environment": "Default Environment",
"status": 1,
"incidentId": null,
"tags": ["hi", "Simulated Case"],
"alertCards": [{
  "id": 172354,
  "creationTimeUnixTimeInMs": 1750862500651,
  "modificationTimeUnixTimeInMs": 1750862500651,
  "identifier": "EICAR_TEST_VANSHIKAVW-TEST-NEW0CC43705-04A7-43FD-88CD-B3E7FECA881D",
  "status": 0,
  "name": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "priority": -1,
  "workflowsStatus": 1,
  "slaExpirationUnixTime": null,
  "slaCriticalExpirationUnixTime": null,
  "startTime": 1727243021999,
  "endTime": 1727243022479,
  "alertGroupIdentifier": "MalwareSFBrxjAXvKJsJyKe5iQalf00zrv/QwX966dRoEyP2eA=_8cc160b5-7039-421c-926c-1a98073f11d2",
  "eventsCount": 3,
  "title": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "ruleGenerator": "Malware",
  "deviceProduct": "SentinelOneV2",
  "deviceVendor": "SentinelOneV2",
  "playbookAttached": "Testing",
  "playbookRunCount": 1,
  "isManualAlert": false,
  "sla": {
    "slaExpirationTime": null,
    "criticalExpirationTime": null,
    "expirationStatus": 2,
    "remainingTimeSinceLastPause": null
    },
  "fieldsGroups": [],
  "sourceUrl": null,
  "sourceRuleUrl": null,
  "siemAlertId": null,
  "relatedCases": [],
  "lastSourceUpdateUnixTimeInMs": null,
  "caseId": 24879,
  "nestingDepth": 0
  }],
"isOverflowCase": false,
"isManualCase": false,
"slaExpirationUnixTime": null,
"slaCriticalExpirationUnixTime": null,
"stageSlaExpirationUnixTimeInMs": null,
"stageSlaCriticalExpirationUnixTimeInMs": null,
"canOpenIncident": false,
"sla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null
  },
"stageSla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null},
  "relatedAlertTicketId": null,
  "relatedAlertCards": []
  }

Messages de sortie

L'action Obtenir les détails de la demande peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant liste la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les détails de la demande :

Obtenir la valeur du contexte du connecteur

Utilisez l'action Get Connector Context Value (Obtenir la valeur du contexte du connecteur) pour récupérer une valeur à partir d'une clé spécifiée dans la base de données Google SecOps pour un contexte de connecteur.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Obtenir la valeur du contexte du connecteur nécessite les paramètres suivants :

Sorties d'action

L'action Obtenir la valeur du contexte du connecteur fournit les sorties suivantes :

Table du mur des cas

L'action Obtenir la valeur du contexte du connecteur peut générer le tableau suivant :

Nom de la table : Connector

Colonnes du tableau :

• Identifiant du connecteur
• Clé
• Valeur

Messages de sortie

L'action Obtenir la valeur du contexte du connecteur peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant indique la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir la valeur du contexte du connecteur :

Obtenir les valeurs des champs personnalisés

Utilisez l'action Obtenir les valeurs des champs personnalisés pour récupérer les valeurs actuelles d'un champ personnalisé en fonction du champ d'application spécifié.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Obtenir les valeurs des champs personnalisés nécessite les paramètres suivants :

Sorties d'action

L'action Obtenir les valeurs des champs personnalisés fournit les sorties suivantes :

Résultat JSON

L'exemple suivant montre le résultat JSON obtenu lors de l'utilisation de l'action Obtenir les valeurs des champs personnalisés :

[{
   "Case": {
       "Case Custom Field Name 1": "Updated Custom Field Value",
       "Case Custom Field Name 2": "Updated Custom Field Value"
   },
   "Alert": {
       "Alert Custom Field Name 1": "Updated Custom Field Value",
       "Alert Custom Field Name 2": "Updated Custom Field Value"
   }
}]

Messages de sortie

L'action Obtenir les valeurs des champs personnalisés peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les valeurs des champs personnalisés :

Obtenir la valeur du contexte de portée

Utilisez l'action Get Scope Context Value (Obtenir la valeur du contexte de portée) pour récupérer une valeur de la base de données Google SecOps stockée sous une clé et un contexte spécifiques.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Obtenir la valeur du contexte de portée nécessite les paramètres suivants :

Sorties d'action

L'action Obtenir la valeur du contexte de portée fournit les sorties suivantes :

Table du mur des cas

L'action Obtenir la valeur du contexte de portée peut générer le tableau suivant :

Nom de la table : SCOPE

Colonnes du tableau :

• Clé
• Valeur

Messages de sortie

L'action Obtenir la valeur du contexte de portée peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir la valeur du contexte de portée :

Obtenir des demandes similaires

Utilisez l'action Get Similar Cases (Obtenir des demandes similaires) pour rechercher des demandes similaires et renvoyer leurs ID.

L'action applique l'opérateur logique AND aux paramètres Rule Generator, Port, Category Outcome, Entity Identifier, Include Open Cases et Include Closed Cases pour filtrer les demandes qui correspondent à tous les critères spécifiés.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Get Similar Cases (Obtenir des cas similaires) nécessite les paramètres suivants :

Sorties d'action

L'action Obtenir des cas similaires fournit les sorties suivantes :

Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Similar Cases (Obtenir des cas similaires) :

{
  "results": [{
    "id": 23874, 
    "name": "Malware", 
    "tags": ["hi", "Simulated Case"], 
    "start time": "2024-09-25 05:43:41.999000+00:00", 
    "start time unix": 1727243021999, 
    "last modified": "2025-06-19 13:24:01.062000+00:00", 
    "priority": "Informative", 
    "assigned user": "@Tier1", 
    "matching_criteria": {
        "ruleGenerator": true, 
        "port": true, 
        "outcome": true, 
        "entities": true
      }, 
    "matched_entities": [
      {"entity": "INSTANCE-1", "type": "HOSTNAME", "isSuspicious": false}, 
      {"entity": "10.150.0.3", "type": "ADDRESS", "isSuspicious": false}, {"entity": "172.17.0.1", "type": "ADDRESS", "isSuspicious": false}, {"entity": "VANSHIKAVW_GOOGLE_COM", "type": "USERUNIQNAME", "isSuspicious": false}, 
      {"entity": "CURL", "type": "PROCESS", "isSuspicious": false}, {"entity": "EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}, 
      {"entity": "3395856CE81F2B7382DEE72602F798B642F14140", "type": "FILEHASH", "isSuspicious": false}, 
      {"entity": "34.85.128.214", "type": "ADDRESS", "isSuspicious": false}, 
      {"entity": "/HOME/VANSHIKAVW_GOOGLE_COM/EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}
      ], 
      "status": "Open"}], 
      "stats": 
      {"Malicious": 0.0, "Is Important": 0.0, "Is Incident": 0.0, "Status Open": 100.0}, 
      "platform_url": "https://soarapitest.backstory.chronicle.security/"
}

Messages de sortie

L'action Obtenir des cas similaires peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Obtenir des cas similaires :

Instruction

Utilisez l'action Instruction pour fournir des instructions à un analyste directement dans la demande.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Instruction nécessite les paramètres suivants :

Sorties d'action

L'action Instruction fournit les résultats suivants :

Messages de sortie

L'action Add Vote To Entity peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Instruction :

Est dans la liste personnalisée

Utilisez l'action Est dans la liste personnalisée pour vérifier si une entité existe dans une liste personnalisée désignée.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Est dans la liste personnalisée nécessite les paramètres suivants :

Sorties d'action

L'action Est dans la liste personnalisée fournit les sorties suivantes :

Messages de sortie

L'action Est dans la liste personnalisée peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Est dans la liste personnalisée :

Marquer comme important

Utilisez l'action Marquer comme important pour marquer la demande comme importante.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

Aucune.

Sorties d'action

L'action Marquer comme important fournit les résultats suivants :

Messages de sortie

L'action Marquer comme important peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Marquer comme important :

URL Open Web

Utilisez l'action Ouvrir l'URL Web pour générer un lien de navigateur.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Ouvrir l'URL du Web ouvert nécessite les paramètres suivants :

Sorties d'action

L'action Ouvrir l'URL Web fournit les sorties suivantes :

Messages de sortie

L'action Ouvrir l'URL Web peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant indique la valeur du résultat du script lorsque vous utilisez l'action Ouvrir l'URL Web :

Mettre en pause le SLA lié à l'alerte

Utilisez l'action Mettre en pause le SLA lié à l'alerte pour mettre en pause le minuteur du contrat de niveau de service (SLA) de l'alerte.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Mettre en pause le SLA lié à l'alerte nécessite les paramètres suivants :

Sorties d'action

L'action Mettre en pause le SLA lié à l'alerte fournit les résultats suivants :

Messages de sortie

L'action Mettre en pause le SLA lié à l'alerte peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Suspendre l'alerte SLA :

Mettre en pause le SLA du cas

Utilisez l'action Suspendre le délai du contrat de niveau de service pour suspendre le délai du contrat de niveau de service pour la demande.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Mettre en pause le SLA du cas nécessite les paramètres suivants :

Sorties d'action

L'action Mettre en pause le SLA du cas fournit les résultats suivants :

Messages de sortie

L'action Mettre en pause le SLA du cas peut renvoyer les messages de résultat suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Suspendre le délai de traitement de la demande :

Heure d'alerte autorisée

Utilisez l'action Heure d'alerte autorisée pour vérifier si l'heure de début de l'alerte respecte les conditions temporelles définies par l'utilisateur.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Heure d'alerte autorisée nécessite les paramètres suivants :

Sorties d'action

L'action Heure d'alerte autorisée fournit les résultats suivants :

Messages de sortie

L'action Permitted Alert Time (Heure d'alerte autorisée) peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Heure d'alerte autorisée :

Ping

Utilisez l'action Ping pour tester la connectivité à Siemplify.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

Aucune.

Sorties d'action

L'action Ping fournit les résultats suivants :

Messages de sortie

L'action Ping peut renvoyer les messages de résultat suivants :

Résultat du script

Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :

Signaler un incident

Utilisez l'action Signaler un incident pour marquer un cas de vrai positif comme Critical et signaler l'incident.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Signaler un incident nécessite les paramètres suivants :

Sorties d'action

L'action Signaler un incident fournit les résultats suivants :

Messages de sortie

L'action Signaler un incident peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Signaler un incident :

Supprimer le tag

Utilisez l'action Supprimer le tag pour supprimer des tags de la demande.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Supprimer le tag nécessite les paramètres suivants :

Sorties d'action

L'action Supprimer le tag fournit les sorties suivantes :

Messages de sortie

L'action Supprimer la balise peut renvoyer les messages de résultat suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Supprimer le tag :

Supprimer d'une liste personnalisée

Utilisez l'action Supprimer de la liste personnalisée pour supprimer les entités associées à une alerte d'une catégorie de liste personnalisée.

Cette action s'exécute sur toutes les entités Google SecOps.

Entrées d'action

L'action Supprimer de la liste personnalisée nécessite les paramètres suivants :

Sorties d'action

L'action Supprimer de la liste personnalisée fournit les sorties suivantes :

Messages de sortie

L'action Supprimer de la liste personnalisée peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant indique la valeur de la sortie du résultat du script lorsque vous utilisez l'action Supprimer de la liste personnalisée :

Réactiver le SLA lié à l'alerte

Utilisez l'action Réactiver le SLA lié à l'alerte pour réactiver et redémarrer le minuteur du contrat de niveau de service (SLA) pour l'alerte.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

Aucune.

Sorties d'action

L'action Réactiver le SLA lié à l'alerte fournit les résultats suivants :

Messages de sortie

L'action Réactiver le SLA lié à l'alerte peut renvoyer les messages de résultat suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Reprendre le contrat de niveau de service d'alerte :

Réactiver le SLA du cas

Utilisez l'action Réactiver le SLA du cas pour réactiver le minuteur du contrat de niveau de service (SLA) pour la demande.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

Aucune.

Sorties d'action

L'action Réactiver le SLA du cas fournit les résultats suivants :

Messages de sortie

L'action Réactiver le SLA du cas peut renvoyer les messages de résultat suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Reprendre le SLA de la demande :

Définir le SLA d'une alerte

Utilisez l'action Définir le SLA d'alerte pour définir le minuteur de SLA pour l'alerte.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Définir le SLA d'alerte nécessite les paramètres suivants :

Sorties d'action

L'action Définir le SLA d'alerte fournit les résultats suivants :

Messages de sortie

L'action Set Alert SLA (Définir le SLA d'alerte) peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Définir le contrat de niveau de service des alertes :

Définir le SLA pour une demande

Utilisez l'action Définir le SLA de la demande pour définir le SLA de la demande.

Cette action a la priorité la plus élevée et remplace le SLA existant défini pour la demande spécifique.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Définir le SLA de la demande nécessite les paramètres suivants :

Sorties d'action

L'action Définir le SLA de la demande fournit les résultats suivants :

Messages de sortie

L'action Search ASM Issues (Rechercher les problèmes ASM) peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Définir le SLA de la demande :

Définir des champs personnalisés

Utilisez l'action Définir des champs personnalisés pour définir des valeurs pour les champs personnalisés.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Définir des champs personnalisés nécessite les paramètres suivants :

    {
      "Custom Field Name 1":"Custom Field Value 1",
      "Custom Field Name 2":"Custom Field Value 2"
    }

Sorties d'action

L'action Définir des champs personnalisés fournit les sorties suivantes :

Résultat JSON

L'exemple suivant montre le résultat JSON obtenu lors de l'utilisation de l'action Définir des champs personnalisés :

{
  "Custom Field Name": "Updated Custom Field Value",
  "Custom Field Name": "Updated Custom Field Value",
}

Messages de sortie

L'action Définir des champs personnalisés peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Définir des champs personnalisés :

Définir le score de risque

Utilisez l'action Définir le score de risque pour mettre à jour le score de risque de la demande.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Définir le score de risque nécessite les paramètres suivants :

Sorties d'action

L'action Définir le score de risque fournit les sorties suivantes :

Messages de sortie

L'action Définir le score de risque peut renvoyer les messages de résultat suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Définir le score de risque :

Définir la valeur du contexte de portée

Utilisez l'action Définir la valeur du contexte de portée pour définir une valeur pour une clé stockée dans la base de données Google SecOps.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Définir la valeur du contexte de portée nécessite les paramètres suivants :

Sorties d'action

L'action Définir la valeur du contexte de portée fournit les sorties suivantes :

Messages de sortie

L'action Définir la valeur du contexte de portée peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Définir la valeur du contexte de portée :

Modifier la description de la demande

Utilisez l'action Mettre à jour la description de la demande pour mettre à jour la description de la demande.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Mettre à jour la description de la demande nécessite les paramètres suivants :

Sorties d'action

L'action Mettre à jour la description de la demande fournit les résultats suivants :

Messages de sortie

L'action Update Case Description (Mettre à jour la description de la demande) peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant indique la valeur de la sortie du résultat du script lorsque vous utilisez l'action Mettre à jour la description de la demande :

Attendre les champs personnalisés

Utilisez l'action Attendre les champs personnalisés pour attendre les valeurs des champs personnalisés avant de poursuivre l'exécution du playbook.

Cette action ne s'applique pas aux entités Google SecOps.

Entrées d'action

L'action Attendre les champs personnalisés nécessite les paramètres suivants :

{
  "Custom Field Name 1": "Custom Field Value 1",
  "Custom Field Name 2": "Custom Field Value 2"
}
    

Sorties d'action

L'action Attendre les champs personnalisés fournit les sorties suivantes :

Résultat JSON

L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Attendre les champs personnalisés :

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

Messages de sortie

L'action Attendre les champs personnalisés peut renvoyer les messages de sortie suivants :

Résultat du script

Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Attendre les champs personnalisés :

Jobs

Pour en savoir plus sur les jobs, consultez Configurer un job et Planification avancée.

Siemplify : Actions Monitor

Utilisez le job Siemplify – Actions Monitor pour recevoir des notifications concernant les actions qui ont échoué au moins trois fois au cours des trois dernières heures.

Paramètres de job

Le job Siemplify – Actions Monitor nécessite les paramètres suivants :

Siemplify : base de données du collecteur de cas

Utilisez le job Siemplify - Cases Collector DB pour récupérer et traiter les demandes de sécurité d'un éditeur désigné.

Paramètres de job

Le job Siemplify - Cases Collector DB nécessite les paramètres suivants :

Siemplify : collecteur de journaux

Utilisez le job Siemplify – Logs Collector pour récupérer et traiter les journaux d'un éditeur spécifié.

Entrées de job

Le job Siemplify – Collecteur de journaux nécessite les paramètres suivants :

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.