Mengintegrasikan Siemplify dengan Google SecOps

Versi integrasi: 94.0

Dokumen ini menjelaskan cara mengintegrasikan Siemplify dengan Google Security Operations (Google SecOps).

Kasus penggunaan

Integrasi Siemplify dapat menangani kasus penggunaan berikut:

• Investigasi phishing: Gunakan kemampuan Google SecOps untuk mengotomatiskan proses analisis email phishing, mengekstrak indikator gangguan (IOC), dan memperkayanya dengan intelijen ancaman.

• Pembatasan malware: Gunakan kemampuan Google SecOps untuk mengisolasi endpoint yang terinfeksi secara otomatis, memulai pemindaian, dan mengarantina file berbahaya setelah mendeteksi malware.

• Pengelolaan kerentanan: Gunakan kemampuan Google SecOps untuk mengatur pemindaian kerentanan, memprioritaskan kerentanan berdasarkan risiko, dan membuat tiket secara otomatis untuk perbaikan.

• Perburuan ancaman: Gunakan kemampuan Google SecOps untuk mengotomatiskan eksekusi kueri perburuan ancaman di berbagai alat dan set data keamanan.

• Triase notifikasi keamanan: Gunakan kemampuan Google SecOps untuk secara otomatis memperkaya notifikasi keamanan dengan informasi kontekstual, mengorelasikannya dengan peristiwa lain, dan memprioritaskannya berdasarkan tingkat keparahan.

• Respons insiden: Gunakan kemampuan Google SecOps untuk mengatur seluruh proses respons insiden, mulai dari deteksi awal hingga penanggulangan dan pemberantasan.

• Pelaporan kepatuhan: Gunakan kemampuan Google SecOps untuk mengotomatiskan pengumpulan dan analisis data keamanan untuk pelaporan kepatuhan.

Parameter integrasi

Integrasi Siemplify memerlukan parameter berikut:

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Tindakan

Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.

Menambahkan Insight Entity

Gunakan tindakan Add Entity Insight untuk menambahkan insight ke entity Google SecOps di Siemplify.

Tindakan ini dijalankan di semua entity Google SecOps.

Input tindakan

Tindakan Add Entity Insight memerlukan parameter berikut:

Output tindakan

Tindakan Add Entity Insight memberikan output berikut:

Pesan output

Tindakan Tambahkan Insight Entitas dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tambahkan Insight Entitas:

Menambahkan Insight Umum

Gunakan tindakan Tambahkan Insight Umum untuk menambahkan insight umum ke kasus.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Tambahkan Insight Umum memerlukan parameter berikut:

Output tindakan

Tindakan Tambahkan Insight Umum memberikan output berikut:

Pesan output

Tindakan Tambahkan Insight Umum dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tambahkan Insight Umum:

Menambahkan Tag ke Kasus Serupa

Gunakan tindakan Tambahkan Tag ke Kasus Serupa untuk menambahkan tag ke kasus serupa.

Untuk menemukan kasus serupa, tindakan ini menggunakan fungsi siemplify.get_similar_cases() untuk mengambil daftar ID kasus berdasarkan serangkaian kriteria dan parameter.

Operator AND logis diterapkan ke parameter Rule Generator, Port, Category Outcome, dan Entity Identifier untuk memfilter kasus yang cocok dengan semua kriteria yang ditentukan.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Tambahkan Tag ke Kasus Serupa memerlukan parameter berikut:

Output tindakan

Tindakan Tambahkan Tag ke Kasus Serupa memberikan output berikut:

Pesan output

Tindakan Tambahkan Tag ke Kasus Serupa dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tambahkan Tag ke Kasus Serupa:

Tambahkan ke Daftar Kustom

Gunakan tindakan Tambahkan ke Daftar Kustom untuk menambahkan ID entitas ke daftar kustom yang dikategorikan dan melakukan perbandingan di masa mendatang dalam tindakan lain.

Tindakan ini dijalankan di semua entity Google SecOps.

Input tindakan

Tindakan Tambahkan ke Daftar Kustom memerlukan parameter berikut:

Output tindakan

Tindakan Tambahkan ke Daftar Kustom memberikan output berikut:

Pesan output

Tindakan Tambahkan ke Daftar Kustom dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tambahkan ke Daftar Kustom:

Penetapan Kasus

Gunakan tindakan Tetapkan Kasus untuk menetapkan kasus kepada pengguna atau grup pengguna tertentu.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Tetapkan Kasus memerlukan parameter berikut:

Output tindakan

Tindakan Assign Case memberikan output berikut:

Pesan output

Tindakan Tambahkan ke Daftar Kustom dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tetapkan Kasus:

Melampirkan Playbook ke Pemberitahuan

Gunakan tindakan Lampirkan Playbook ke Pemberitahuan untuk melampirkan playbook tertentu ke pemberitahuan.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Lampirkan Playbook ke Pemberitahuan memerlukan parameter berikut:

Output tindakan

Tindakan Lampirkan Playbook ke Pemberitahuan memberikan output berikut:

Pesan output

Tindakan Search Graphs dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Lampirkan Playbook ke Pemberitahuan:

Komentar Kasus

Gunakan tindakan Komentar Kasus untuk menambahkan komentar ke kasus tempat notifikasi saat ini dikelompokkan.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Komentar Kasus memerlukan parameter berikut:

Output tindakan

Tindakan Case Comment memberikan output berikut:

Pesan output

Tindakan Add Vote To Entity dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Komentar Kasus:

Tag Kasus

Gunakan tindakan Tag Kasus untuk menambahkan tag ke kasus tempat pemberitahuan saat ini dikelompokkan.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Tag Kasus memerlukan parameter berikut:

Output tindakan

Tindakan Tag Kasus memberikan output berikut:

Pesan output

Tindakan Tag Kasus dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tag Kasus:

Ubah Prioritas Pemberitahuan

Gunakan tindakan Ubah Prioritas Pemberitahuan untuk memperbarui prioritas pemberitahuan dalam kasus.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Ubah Prioritas Pemberitahuan memerlukan parameter berikut:

Output tindakan

Tindakan Ubah Prioritas Pemberitahuan memberikan output berikut:

Pesan output

Tindakan Add Vote To Entity dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ubah Prioritas Pemberitahuan:

Ubah Tahap Kasus

Gunakan tindakan Ubah Tahap Kasus untuk mengubah tahap kasus.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Ubah Tahap Kasus memerlukan parameter berikut:

Output tindakan

Tindakan Change Case Stage memberikan output berikut:

Pesan output

Tindakan Add Vote To Entity dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ubah Tahap Huruf:

Ubah Prioritas

Gunakan tindakan Ubah Prioritas untuk mengubah prioritas kasus.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Ubah Prioritas memerlukan parameter berikut:

Output tindakan

Tindakan Ubah Prioritas memberikan output berikut:

Pesan output

Tindakan Add Vote To Entity dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ubah Prioritas:

Tutup Pemberitahuan

Gunakan tindakan Tutup Pemberitahuan untuk menutup pemberitahuan.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Tutup Pemberitahuan memerlukan parameter berikut:

Output tindakan

Tindakan Tutup Notifikasi memberikan output berikut:

Pesan output

Tindakan Add Vote To Entity dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tutup Pemberitahuan:

Tutup Kasus

Gunakan tindakan Tutup Kasus untuk menutup kasus.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Tutup Kasus memerlukan parameter berikut:

Output tindakan

Tindakan Tutup Kasus memberikan output berikut:

Pesan output

Tindakan Add Vote To Entity dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tutup Kasus:

Buat Entity

Gunakan tindakan Buat Entitas untuk membuat entitas baru dan menambahkannya ke pemberitahuan.

Tindakan ini dijalankan di semua entity Google SecOps.

Input tindakan

Tindakan Create Entity memerlukan parameter berikut:

Output tindakan

Tindakan Create Entity memberikan output berikut:

Pesan output

Tindakan Create Entity dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Buat Entity:

Membuat Ringkasan Kasus Gemini

Gunakan tindakan Buat Ringkasan Kasus Gemini untuk membuat ringkasan kasus Gemini baru dan menambahkannya ke pemberitahuan.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Create Gemini Case Summary memberikan output berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Buat Ringkasan Kasus Gemini:

{
  "summary": "On the Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214), user vanshikavw_google_com initiated the process curl (SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140) to create the malware file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.\n*  VirusTotal identifies the SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 as a virus.eicar/test.\n*  CURL is associated with multiple actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961.\n*  CURL is known to use MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588.\n*  A GTI MALWARE search did not find any information about eicar_test_vanshikavw-test-new.\n*  A GTI IP_ADDRESS search did not find any information about 10.150.0.3 or 34.85.128.214.", 
  "next_steps": ["Isolate instance-1 to prevent any potential lateral movement or further compromise of the network, as the curl process is associated with multiple threat actors.", 
  "Investigate the user account vanshikavw_google_com to determine if the user's credentials have been compromised or if the user initiated the curl process intentionally, as the curl process is associated with multiple threat actors.", 
  "Analyze the network traffic to and from the IP addresses 10.150.0.3 and 34.85.128.214 for any suspicious communication patterns, as the curl process is associated with multiple threat actors.", 
  "Examine the process execution logs on instance-1 for any other unusual or unauthorized activities, as the curl process is associated with multiple threat actors.", 
  "Review the configuration of the Linux agent on instance-1 to ensure that it is properly secured and that no unauthorized modifications have been made, as the curl process is associated with multiple threat actors."], 
  "reasons": ["The case involves a Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214) where user vanshikavw_google_com initiated the process curl to create the file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.", 
  "The SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 of the curl process is identified by VirusTotal as virus.eicar/test, indicating it is a known test virus.", 
  "The process CURL is associated with multiple threat actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961, suggesting a potential link to malicious activity.", 
  "CURL is known to use various MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588, indicating a wide range of potential malicious behaviors.", 
  "The file eicar_test_vanshikavw-test-new was not found in GTI MALWARE searches, and the IP addresses 10.150.0.3 and 34.85.128.214 were not found in GTI IP_ADDRESS searches."]
}

Pesan output

Tindakan Buat Ringkasan Kasus Gemini dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Buat Ringkasan Kasus Gemini:

Membuat Atau Memperbarui Properti Entity

Gunakan tindakan Create Or Update Entity Properties untuk membuat atau mengubah properti entitas dalam cakupan entitas.

Tindakan ini dijalankan di semua entity Google SecOps.

Input tindakan

Tindakan Create Or Update Entity Properties memerlukan parameter berikut:

Output tindakan

Tindakan Create Or Update Entity Properties memberikan output berikut:

Pesan output

Tindakan Create Or Update Entity Properties dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Buat atau Perbarui Properti Entitas:

Mendapatkan Pemberitahuan Kasus

Gunakan tindakan Get Case Alerts untuk mengambil pemberitahuan terkait kasus tertentu.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Get Case Alerts memerlukan parameter berikut:

Mendapatkan Detail Kasus

Gunakan tindakan Dapatkan Detail Kasus untuk mendapatkan semua data dari kasus (termasuk komentar, informasi entity, insight, playbook yang dijalankan, informasi pemberitahuan, dan peristiwa).

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Get Case Details memerlukan parameter berikut:

Output tindakan

Tindakan Get Case Details memberikan output berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Case Details:

{
"id": 24879,
"creationTimeUnixTimeInMs": 1750862500562,
"modificationTimeUnixTimeInMs": 1750862500562,
"name": "Malware",
"priority": -1,
"isImportant": false,
"isIncident": false,
"startTimeUnixTimeInMs": 1727243021999,
"endTimeUnixTimeInMs": 1727243022479,
"assignedUser": "@Tier1",
"description": null,
"isTestCase": true,
"type": 1,
"stage": "Triage",
"environment": "Default Environment",
"status": 1,
"incidentId": null,
"tags": ["hi", "Simulated Case"],
"alertCards": [{
  "id": 172354,
  "creationTimeUnixTimeInMs": 1750862500651,
  "modificationTimeUnixTimeInMs": 1750862500651,
  "identifier": "EICAR_TEST_VANSHIKAVW-TEST-NEW0CC43705-04A7-43FD-88CD-B3E7FECA881D",
  "status": 0,
  "name": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "priority": -1,
  "workflowsStatus": 1,
  "slaExpirationUnixTime": null,
  "slaCriticalExpirationUnixTime": null,
  "startTime": 1727243021999,
  "endTime": 1727243022479,
  "alertGroupIdentifier": "MalwareSFBrxjAXvKJsJyKe5iQalf00zrv/QwX966dRoEyP2eA=_8cc160b5-7039-421c-926c-1a98073f11d2",
  "eventsCount": 3,
  "title": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "ruleGenerator": "Malware",
  "deviceProduct": "SentinelOneV2",
  "deviceVendor": "SentinelOneV2",
  "playbookAttached": "Testing",
  "playbookRunCount": 1,
  "isManualAlert": false,
  "sla": {
    "slaExpirationTime": null,
    "criticalExpirationTime": null,
    "expirationStatus": 2,
    "remainingTimeSinceLastPause": null
    },
  "fieldsGroups": [],
  "sourceUrl": null,
  "sourceRuleUrl": null,
  "siemAlertId": null,
  "relatedCases": [],
  "lastSourceUpdateUnixTimeInMs": null,
  "caseId": 24879,
  "nestingDepth": 0
  }],
"isOverflowCase": false,
"isManualCase": false,
"slaExpirationUnixTime": null,
"slaCriticalExpirationUnixTime": null,
"stageSlaExpirationUnixTimeInMs": null,
"stageSlaCriticalExpirationUnixTimeInMs": null,
"canOpenIncident": false,
"sla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null
  },
"stageSla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null},
  "relatedAlertTicketId": null,
  "relatedAlertCards": []
  }

Pesan output

Tindakan Get Case Details dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Case Details:

Mendapatkan Nilai Konteks Konektor

Gunakan tindakan Dapatkan Nilai Konteks Konektor untuk mengambil nilai dari kunci yang ditentukan dalam database Google SecOps untuk konteks konektor.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Get Connector Context Value memerlukan parameter berikut:

Output tindakan

Tindakan Get Connector Context Value memberikan output berikut:

Tabel Repositori Kasus

Tindakan Get Connector Context Value dapat menghasilkan tabel berikut:

Nama tabel: Connector

Kolom tabel:

• ID konektor
• Kunci
• Nilai

Pesan output

Tindakan Get Connector Context Value dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Connector Context Value:

Mendapatkan Nilai Kolom Kustom

Gunakan tindakan Dapatkan Nilai Kolom Kustom untuk mengambil nilai saat ini dari kolom kustom berdasarkan cakupan yang ditentukan.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Get Custom Field Values memerlukan parameter berikut:

Output tindakan

Tindakan Get Custom Field Values memberikan output berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Dapatkan Nilai Kolom Kustom:

[{
   "Case": {
       "Case Custom Field Name 1": "Updated Custom Field Value",
       "Case Custom Field Name 2": "Updated Custom Field Value"
   },
   "Alert": {
       "Alert Custom Field Name 1": "Updated Custom Field Value",
       "Alert Custom Field Name 2": "Updated Custom Field Value"
   }
}]

Pesan output

Tindakan Get Custom Field Values dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Dapatkan Nilai Kolom Kustom:

Mendapatkan Nilai Konteks Cakupan

Gunakan tindakan Get Scope Context Value untuk mengambil nilai dari database Google SecOps yang disimpan dengan kunci dan konteks tertentu.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Get Scope Context Value memerlukan parameter berikut:

Output tindakan

Tindakan Get Scope Context Value memberikan output berikut:

Tabel Repositori Kasus

Tindakan Get Scope Context Value dapat menghasilkan tabel berikut:

Nama tabel: SCOPE

Kolom tabel:

• Kunci
• Nilai

Pesan output

Tindakan Get Scope Context Value dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Scope Context Value:

Mendapatkan Kasus Serupa

Gunakan tindakan Dapatkan Kasus Serupa untuk menelusuri kasus serupa dan menampilkan ID-nya.

Tindakan ini menerapkan operator AND logis ke parameter Rule Generator, Port, Category Outcome, Entity Identifier, Include Open Cases, dan Include Closed Cases untuk memfilter kasus yang cocok dengan semua kriteria yang ditentukan.

Tindakan ini dijalankan di semua entity Google SecOps.

Input tindakan

Tindakan Get Similar Cases memerlukan parameter berikut:

Output tindakan

Tindakan Get Similar Cases memberikan output berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Similar Cases:

{
  "results": [{
    "id": 23874, 
    "name": "Malware", 
    "tags": ["hi", "Simulated Case"], 
    "start time": "2024-09-25 05:43:41.999000+00:00", 
    "start time unix": 1727243021999, 
    "last modified": "2025-06-19 13:24:01.062000+00:00", 
    "priority": "Informative", 
    "assigned user": "@Tier1", 
    "matching_criteria": {
        "ruleGenerator": true, 
        "port": true, 
        "outcome": true, 
        "entities": true
      }, 
    "matched_entities": [
      {"entity": "INSTANCE-1", "type": "HOSTNAME", "isSuspicious": false}, 
      {"entity": "10.150.0.3", "type": "ADDRESS", "isSuspicious": false}, {"entity": "172.17.0.1", "type": "ADDRESS", "isSuspicious": false}, {"entity": "VANSHIKAVW_GOOGLE_COM", "type": "USERUNIQNAME", "isSuspicious": false}, 
      {"entity": "CURL", "type": "PROCESS", "isSuspicious": false}, {"entity": "EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}, 
      {"entity": "3395856CE81F2B7382DEE72602F798B642F14140", "type": "FILEHASH", "isSuspicious": false}, 
      {"entity": "34.85.128.214", "type": "ADDRESS", "isSuspicious": false}, 
      {"entity": "/HOME/VANSHIKAVW_GOOGLE_COM/EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}
      ], 
      "status": "Open"}], 
      "stats": 
      {"Malicious": 0.0, "Is Important": 0.0, "Is Incident": 0.0, "Status Open": 100.0}, 
      "platform_url": "https://soarapitest.backstory.chronicle.security/"
}

Pesan output

Tindakan Get Similar Cases dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Similar Cases:

Petunjuk

Gunakan tindakan Petunjuk untuk memberikan petunjuk kepada analis secara langsung di kasus tersebut.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Instruction memerlukan parameter berikut:

Output tindakan

Tindakan Instruction memberikan output berikut:

Pesan output

Tindakan Add Vote To Entity dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Petunjuk:

Ada Dalam Daftar Kustom

Gunakan tindakan Ada Dalam Daftar Kustom untuk memeriksa apakah suatu entitas ada dalam daftar kustom yang ditentukan.

Tindakan ini dijalankan di semua entity Google SecOps.

Input tindakan

Tindakan Is In Custom List memerlukan parameter berikut:

Output tindakan

Tindakan Is In Custom List memberikan output berikut:

Pesan output

Tindakan Is In Custom List dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Is In Custom List:

Tandai Sebagai Penting

Gunakan tindakan Tandai Sebagai Penting untuk menandai kasus sebagai penting.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Tandai Sebagai Penting memberikan output berikut:

Pesan output

Tindakan Tandai Sebagai Penting dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tandai Sebagai Penting:

URL Open Web

Gunakan tindakan Open Web Url untuk membuat link browser.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Open Web Url memerlukan parameter berikut:

Output tindakan

Tindakan Open Web Url memberikan output berikut:

Pesan output

Tindakan Open Web Url dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Open Web Url:

Menjeda SLA Pemberitahuan

Gunakan tindakan Jeda SLA Pemberitahuan untuk menjeda timer Perjanjian Tingkat Layanan (SLA) untuk pemberitahuan.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Pause Alert SLA memerlukan parameter berikut:

Output tindakan

Tindakan Pause Alert SLA memberikan output berikut:

Pesan output

Tindakan Jeda SLA Pemberitahuan dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan SLA Jeda Pemberitahuan:

Jeda SLA Kasus

Gunakan tindakan Jeda SLA Kasus untuk menjeda timer Perjanjian Tingkat Layanan (SLA) untuk kasus tersebut.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Jeda SLA Kasus memerlukan parameter berikut:

Output tindakan

Tindakan Jeda SLA Kasus memberikan output berikut:

Pesan output

Tindakan Jeda SLA Kasus dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Jeda SLA Kasus:

Waktu Peringatan yang Diizinkan

Gunakan tindakan Waktu Pemberitahuan yang Diizinkan untuk memeriksa apakah waktu mulai pemberitahuan sesuai dengan kondisi waktu yang ditentukan pengguna.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Waktu Pemberitahuan yang Diizinkan memerlukan parameter berikut:

Output tindakan

Tindakan Waktu Pemberitahuan yang Diizinkan memberikan output berikut:

Pesan output

Tindakan Waktu Pemberitahuan yang Diizinkan dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Waktu Pemberitahuan yang Diizinkan:

Ping

Gunakan tindakan Ping untuk menguji konektivitas ke Siemplify.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Ping memberikan output berikut:

Pesan output

Tindakan Ping dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:

Laporkan Insiden

Gunakan tindakan Buat Insiden untuk menandai kasus positif sebenarnya sebagai Critical dan membuat insiden kasus.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Raise Incident memerlukan parameter berikut:

Output tindakan

Tindakan Raise Incident memberikan output berikut:

Pesan output

Tindakan Raise Incident dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Raise Incident:

Menghapus Tag

Gunakan tindakan Hapus Tag untuk menghapus tag dari kasus.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Hapus Tag memerlukan parameter berikut:

Output tindakan

Tindakan Hapus Tag memberikan output berikut:

Pesan output

Tindakan Hapus Tag dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Hapus Tag:

Menghapus Dari Daftar Kustom

Gunakan tindakan Hapus Dari Daftar Kustom untuk menghapus entitas yang terkait dengan pemberitahuan dari kategori daftar kustom.

Tindakan ini dijalankan di semua entity Google SecOps.

Input tindakan

Tindakan Hapus Dari Daftar Kustom memerlukan parameter berikut:

Output tindakan

Tindakan Hapus Dari Daftar Kustom memberikan output berikut:

Pesan output

Tindakan Hapus Dari Daftar Kustom dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Hapus dari Daftar Kustom:

Melanjutkan SLA Pemberitahuan

Gunakan tindakan Lanjutkan SLA Pemberitahuan untuk membatalkan jeda dan memulai ulang timer Perjanjian Tingkat Layanan (SLA) untuk pemberitahuan.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Resume Alert SLA memberikan output berikut:

Pesan output

Tindakan Resume Alert SLA dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Lanjutkan SLA Pemberitahuan:

Lanjutkan SLA Kasus

Gunakan tindakan Lanjutkan SLA Kasus untuk melanjutkan dan memulai ulang timer Perjanjian Tingkat Layanan (SLA) untuk kasus tersebut.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Lanjutkan SLA Kasus memberikan output berikut:

Pesan output

Tindakan Lanjutkan SLA Kasus dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Lanjutkan SLA Kasus:

Menetapkan SLA Pemberitahuan

Gunakan tindakan Setel SLA Pemberitahuan untuk menyetel timer SLA untuk pemberitahuan.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Set Alert SLA memerlukan parameter berikut:

Output tindakan

Tindakan Set Alert SLA memberikan output berikut:

Pesan output

Tindakan Setel SLA Pemberitahuan dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Set Alert SLA:

Menetapkan SLA Kasus

Gunakan tindakan Set Case SLA untuk menetapkan SLA kasus.

Tindakan ini memiliki prioritas tertinggi dan menggantikan SLA yang ada yang ditentukan untuk kasus tertentu.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Setel SLA Kasus memerlukan parameter berikut:

Output tindakan

Tindakan Set Case SLA memberikan output berikut:

Pesan output

Tindakan Search ASM Issues dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Setel SLA Kasus:

Tetapkan Kolom Kustom

Gunakan tindakan Tetapkan Kolom Kustom untuk menetapkan nilai kolom kustom.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Set Custom Fields memerlukan parameter berikut:

    {
      "Custom Field Name 1":"Custom Field Value 1",
      "Custom Field Name 2":"Custom Field Value 2"
    }

Output tindakan

Tindakan Setel Kolom Kustom memberikan output berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Set Custom Fields:

{
  "Custom Field Name": "Updated Custom Field Value",
  "Custom Field Name": "Updated Custom Field Value",
}

Pesan output

Tindakan Setel Kolom Kustom dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Setel Kolom Kustom:

Menetapkan Skor Risiko

Gunakan tindakan Tetapkan Skor Risiko untuk memperbarui skor risiko kasus.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Setel Skor Risiko memerlukan parameter berikut:

Output tindakan

Tindakan Set Risk Score memberikan output berikut:

Pesan output

Tindakan Set Risk Score dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tetapkan Skor Risiko:

Menetapkan Nilai Konteks Cakupan

Gunakan tindakan Setel Nilai Konteks Cakupan untuk menetapkan nilai bagi kunci yang disimpan dalam database Google SecOps.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Setel Nilai Konteks Cakupan memerlukan parameter berikut:

Output tindakan

Tindakan Set Scope Context Value memberikan output berikut:

Pesan output

Tindakan Set Scope Context Value dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Set Scope Context Value:

Memperbarui Deskripsi Kasus

Gunakan tindakan Perbarui Deskripsi Kasus untuk memperbarui deskripsi kasus.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Update Case Description memerlukan parameter berikut:

Output tindakan

Tindakan Update Case Description memberikan output berikut:

Pesan output

Tindakan Update Case Description dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Update Case Description:

Tunggu Kolom Kustom

Gunakan tindakan Tunggu Kolom Kustom untuk menunggu nilai kolom kustom agar eksekusi playbook dapat dilanjutkan.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Tunggu Kolom Kustom memerlukan parameter berikut:

{
  "Custom Field Name 1": "Custom Field Value 1",
  "Custom Field Name 2": "Custom Field Value 2"
}
    

Output tindakan

Tindakan Wait For Custom Fields memberikan output berikut:

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Wait For Custom Fields:

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

Pesan output

Tindakan Tunggu Kolom Kustom dapat menampilkan pesan output berikut:

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tunggu Kolom Kustom:

Pekerjaan

Untuk mengetahui informasi selengkapnya tentang tugas, lihat Mengonfigurasi tugas baru dan Penjadwalan lanjutan.

Siemplify - Actions Monitor

Gunakan tugas Siemplify - Actions Monitor untuk menerima notifikasi tentang tindakan yang gagal setidaknya tiga kali secara terpisah dalam tiga jam terakhir.

Parameter tugas

Tugas Siemplify - Actions Monitor memerlukan parameter berikut:

Siemplify - DB Pengumpul Kasus

Gunakan tugas Siemplify - Cases Collector DB untuk mengambil dan memproses kasus keamanan dari penerbit yang ditentukan.

Parameter tugas

Tugas Siemplify - Cases Collector DB memerlukan parameter berikut:

Siemplify - Pengumpul Log

Gunakan tugas Siemplify - Logs Collector untuk mengambil dan memproses log dari penayang tertentu.

Input tugas

Tugas Siemplify - Logs Collector memerlukan parameter berikut:

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.