Integrare Siemplify con Google SecOps

Versione integrazione: 94.0

Questo documento spiega come integrare Siemplify con Google Security Operations (Google SecOps).

Casi d'uso

L'integrazione Siemplify può gestire i seguenti casi d'uso:

• Indagine sul phishing: utilizza le funzionalità di Google SecOps per automatizzare il processo di analisi delle email di phishing, estrarre indicatori di compromissione (IOC) e arricchirli con informazioni sulle minacce.

• Contenimento del malware: utilizza le funzionalità di Google SecOps per isolare automaticamente gli endpoint infetti, avviare scansioni e mettere in quarantena i file dannosi al rilevamento di malware.

• Gestione delle vulnerabilità: utilizza le funzionalità di Google SecOps per orchestrare le scansioni delle vulnerabilità, dare la priorità alle vulnerabilità in base al rischio e creare automaticamente ticket per la correzione.

• Caccia alle minacce: utilizza le funzionalità di Google SecOps per automatizzare l'esecuzione di query di caccia alle minacce in vari strumenti di sicurezza e set di dati.

• Triage degli avvisi di sicurezza: utilizza le funzionalità di Google SecOps per arricchire automaticamente gli avvisi di sicurezza con informazioni contestuali, correlarli ad altri eventi e assegnare loro la priorità in base alla gravità.

• Risposta agli incidenti: utilizza le funzionalità di Google SecOps per orchestrare l'intero processo di risposta agli incidenti, dal rilevamento iniziale al contenimento e all'eradicazione.

• Report di conformità: utilizza le funzionalità di Google SecOps per automatizzare la raccolta e l'analisi dei dati di sicurezza per i report di conformità.

Parametri di integrazione

L'integrazione Siemplify richiede i seguenti parametri:

Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.

Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supporto di più istanze.

Azioni

Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.

Aggiungere un insight sull'entità

Utilizza l'azione Aggiungi approfondimento entità per aggiungere un approfondimento a un'entità Google SecOps in Siemplify.

Questa azione viene eseguita su tutte le entità Google SecOps.

Input azione

L'azione Aggiungi approfondimento sull'entità richiede i seguenti parametri:

Output dell'azione

L'azione Aggiungi approfondimento sull'entità fornisce i seguenti output:

Messaggi di output

L'azione Aggiungi approfondimento sull'entità può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiungi approfondimento sull'entità:

Aggiungere un insight generale

Utilizza l'azione Aggiungi approfondimento generale per aggiungere un approfondimento generale alla richiesta.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Aggiungi insight generale richiede i seguenti parametri:

Output dell'azione

L'azione Aggiungi insight generale fornisce i seguenti output:

Messaggi di output

L'azione Aggiungi insight generale può restituire i seguenti messaggi di output:

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiungi approfondimento generale:

Aggiungere tag a casi simili

Utilizza l'azione Aggiungi tag a casi simili per aggiungere tag a casi simili.

Per trovare casi simili, l'azione utilizza la funzione siemplify.get_similar_cases() per recuperare un elenco di ID richiesta in base a un insieme di criteri e parametri.

L'operatore logico AND viene applicato ai parametri Rule Generator, Port, Category Outcome e Entity Identifier per filtrare i casi che corrispondono a tutti i criteri specificati.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Aggiungi tag a richieste simili richiede i seguenti parametri:

Output dell'azione

L'azione Aggiungi tag a casi simili fornisce i seguenti output:

Messaggi di output

L'azione Aggiungi tag a casi simili può restituire i seguenti messaggi di output:

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiungi tag a richieste simili:

Aggiungi a elenco personalizzato

Utilizza l'azione Aggiungi a elenco personalizzato per aggiungere un identificatore di entità a un elenco personalizzato categorizzato ed eseguire confronti futuri in altre azioni.

Questa azione viene eseguita su tutte le entità Google SecOps.

Input azione

L'azione Aggiungi a elenco personalizzato richiede i seguenti parametri:

Output dell'azione

L'azione Aggiungi a elenco personalizzato fornisce i seguenti output:

Messaggi di output

L'azione Aggiungi a elenco personalizzato può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiungi a elenco personalizzato:

Assegna richiesta

Utilizza l'azione Assegna richiesta per assegnare la richiesta a un utente o a un gruppo di utenti specifico.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Assegna richiesta richiede i seguenti parametri:

Output dell'azione

L'azione Assegna richiesta fornisce i seguenti output:

Messaggi di output

L'azione Aggiungi a elenco personalizzato può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Assegna richiesta:

Allegare un playbook all'avviso

Utilizza l'azione Allega playbook all'avviso per allegare un playbook specifico all'avviso.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Allega playbook all'avviso richiede i seguenti parametri:

Output dell'azione

L'azione Allega playbook all'avviso fornisce i seguenti output:

Messaggi di output

L'azione Cerca grafici può restituire i seguenti messaggi di output:

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando si utilizza l'azione Allega playbook all'avviso:

Commento alla richiesta

Utilizza l'azione Commento richiesta per aggiungere un commento alla richiesta in cui è raggruppato l'avviso corrente.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Commento richiesta richiede i seguenti parametri:

Output dell'azione

L'azione Commento richiesta fornisce i seguenti output:

Messaggi di output

L'azione Aggiungi voto all'entità può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Commento richiesta:

Tag richiesta

Utilizza l'azione Tag richiesta per aggiungere un tag alla richiesta in cui è raggruppato l'avviso corrente.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Tag caso richiede i seguenti parametri:

Output dell'azione

L'azione Tag caso fornisce i seguenti output:

Messaggi di output

L'azione Tag richiesta può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Tag caso:

Cambia priorità dell'avviso

Utilizza l'azione Cambia priorità dell'avviso per aggiornare la priorità di un avviso in una richiesta.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Cambia priorità dell'avviso richiede i seguenti parametri:

Output dell'azione

L'azione Cambia priorità dell'avviso fornisce i seguenti output:

Messaggi di output

L'azione Aggiungi voto all'entità può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Modifica priorità avviso:

Cambia fase della richiesta

Utilizza l'azione Cambia fase della richiesta per modificare la fase della richiesta.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Cambia stato richiesta richiede i seguenti parametri:

Output dell'azione

L'azione Cambia fase della richiesta fornisce i seguenti output:

Messaggi di output

L'azione Aggiungi voto all'entità può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Fase di modifica delle maiuscole e minuscole:

Cambia priorità

Utilizza l'azione Modifica priorità per modificare la priorità della richiesta.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Modifica priorità richiede i seguenti parametri:

Output dell'azione

L'azione Modifica priorità fornisce i seguenti output:

Messaggi di output

L'azione Aggiungi voto all'entità può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Modifica priorità:

Chiudi avviso

Utilizza l'azione Chiudi avviso per chiudere l'avviso.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Chiudi avviso richiede i seguenti parametri:

Output dell'azione

L'azione Chiudi avviso fornisce i seguenti output:

Messaggi di output

L'azione Aggiungi voto all'entità può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Chiudi avviso:

Chiudi richiesta

Utilizza l'azione Chiudi richiesta per chiudere la richiesta.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Chiudi richiesta richiede i seguenti parametri:

Output dell'azione

L'azione Chiudi richiesta fornisce i seguenti output:

Messaggi di output

L'azione Aggiungi voto all'entità può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Chiudi richiesta:

Crea entità

Utilizza l'azione Crea entità per creare una nuova entità e aggiungerla a un avviso.

Questa azione viene eseguita su tutte le entità Google SecOps.

Input azione

L'azione Crea entità richiede i seguenti parametri:

Output dell'azione

L'azione Crea entità fornisce i seguenti output:

Messaggi di output

L'azione Crea entità può restituire i seguenti messaggi di output:

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Crea entità:

Crea un riepilogo della richiesta Gemini

Utilizza l'azione Crea riepilogo della richiesta Gemini per creare un nuovo riepilogo della richiesta Gemini e aggiungerlo a un avviso.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

Nessuno.

Output dell'azione

L'azione Crea riepilogo della richiesta Gemini fornisce i seguenti output:

Risultato JSON

L'esempio seguente mostra l'output del risultato JSON ricevuto quando utilizzi l'azione Crea riepilogo della richiesta Gemini:

{
  "summary": "On the Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214), user vanshikavw_google_com initiated the process curl (SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140) to create the malware file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.\n*  VirusTotal identifies the SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 as a virus.eicar/test.\n*  CURL is associated with multiple actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961.\n*  CURL is known to use MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588.\n*  A GTI MALWARE search did not find any information about eicar_test_vanshikavw-test-new.\n*  A GTI IP_ADDRESS search did not find any information about 10.150.0.3 or 34.85.128.214.", 
  "next_steps": ["Isolate instance-1 to prevent any potential lateral movement or further compromise of the network, as the curl process is associated with multiple threat actors.", 
  "Investigate the user account vanshikavw_google_com to determine if the user's credentials have been compromised or if the user initiated the curl process intentionally, as the curl process is associated with multiple threat actors.", 
  "Analyze the network traffic to and from the IP addresses 10.150.0.3 and 34.85.128.214 for any suspicious communication patterns, as the curl process is associated with multiple threat actors.", 
  "Examine the process execution logs on instance-1 for any other unusual or unauthorized activities, as the curl process is associated with multiple threat actors.", 
  "Review the configuration of the Linux agent on instance-1 to ensure that it is properly secured and that no unauthorized modifications have been made, as the curl process is associated with multiple threat actors."], 
  "reasons": ["The case involves a Linux agent instance-1 (IP addresses 10.150.0.3 and 34.85.128.214) where user vanshikavw_google_com initiated the process curl to create the file /home/vanshikavw_google_com/eicar_test_vanshikavw-test-new.", 
  "The SHA1 hash 3395856ce81f2b7382dee72602f798b642f14140 of the curl process is identified by VirusTotal as virus.eicar/test, indicating it is a known test virus.", 
  "The process CURL is associated with multiple threat actors, including APT27, APT34, APT41, APT44, APT9, FIN11, FIN13, FIN6, TEMP.Armageddon, Turla Team, UNC1151, UNC1860, UNC215, UNC2165, UNC2500, UNC251, UNC2595, UNC2633, UNC2900, UNC2975, UNC3569, UNC3661, UNC3944, UNC4483, UNC4936, UNC4962, UNC5007, UNC5051, UNC5055, UNC5156, UNC5221, UNC5266, UNC5330, UNC5371, UNC5470, UNC5859, and UNC961, suggesting a potential link to malicious activity.", 
  "CURL is known to use various MITRE ATT&CK techniques such as T1113, T1095, T1036, T1553, T1222, T1055, T1140, T1070, T1027, T1622, T1057, T1010, T1083, T1518, T1082, T1016, T1059, T1496, and T1588, indicating a wide range of potential malicious behaviors.", 
  "The file eicar_test_vanshikavw-test-new was not found in GTI MALWARE searches, and the IP addresses 10.150.0.3 and 34.85.128.214 were not found in GTI IP_ADDRESS searches."]
}

Messaggi di output

L'azione Crea riepilogo della richiesta Gemini può restituire i seguenti messaggi di output:

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Crea riepilogo della richiesta Gemini:

Crea o aggiorna proprietà dell'entità

Utilizza l'azione Crea o aggiorna proprietà entità per creare o modificare le proprietà delle entità nell'ambito dell'entità.

Questa azione viene eseguita su tutte le entità Google SecOps.

Input azione

L'azione Crea o aggiorna proprietà entità richiede i seguenti parametri:

Output dell'azione

L'azione Crea o aggiorna proprietà dell'entità fornisce i seguenti output:

Messaggi di output

L'azione Crea o aggiorna proprietà dell'entità può restituire i seguenti messaggi di output:

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Crea o aggiorna proprietà entità:

Ricevere avvisi sulle richieste

Utilizza l'azione Recupera avvisi relativi ai casi per recuperare gli avvisi relativi ai casi specificati.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Ricevi avvisi per le richieste richiede i seguenti parametri:

Recupero dei dettagli della richiesta

Utilizza l'azione Ottieni dettagli richiesta per ottenere tutti i dati di una richiesta (inclusi commenti, informazioni sulle entità, approfondimenti, playbook eseguiti, informazioni sugli avvisi ed eventi).

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Recupera dettagli richiesta richiede i seguenti parametri:

Output dell'azione

L'azione Recupera dettagli richiesta fornisce i seguenti output:

Risultato JSON

Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni dettagli richiesta:

{
"id": 24879,
"creationTimeUnixTimeInMs": 1750862500562,
"modificationTimeUnixTimeInMs": 1750862500562,
"name": "Malware",
"priority": -1,
"isImportant": false,
"isIncident": false,
"startTimeUnixTimeInMs": 1727243021999,
"endTimeUnixTimeInMs": 1727243022479,
"assignedUser": "@Tier1",
"description": null,
"isTestCase": true,
"type": 1,
"stage": "Triage",
"environment": "Default Environment",
"status": 1,
"incidentId": null,
"tags": ["hi", "Simulated Case"],
"alertCards": [{
  "id": 172354,
  "creationTimeUnixTimeInMs": 1750862500651,
  "modificationTimeUnixTimeInMs": 1750862500651,
  "identifier": "EICAR_TEST_VANSHIKAVW-TEST-NEW0CC43705-04A7-43FD-88CD-B3E7FECA881D",
  "status": 0,
  "name": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "priority": -1,
  "workflowsStatus": 1,
  "slaExpirationUnixTime": null,
  "slaCriticalExpirationUnixTime": null,
  "startTime": 1727243021999,
  "endTime": 1727243022479,
  "alertGroupIdentifier": "MalwareSFBrxjAXvKJsJyKe5iQalf00zrv/QwX966dRoEyP2eA=_8cc160b5-7039-421c-926c-1a98073f11d2",
  "eventsCount": 3,
  "title": "EICAR_TEST_VANSHIKAVW-TEST-NEW",
  "ruleGenerator": "Malware",
  "deviceProduct": "SentinelOneV2",
  "deviceVendor": "SentinelOneV2",
  "playbookAttached": "Testing",
  "playbookRunCount": 1,
  "isManualAlert": false,
  "sla": {
    "slaExpirationTime": null,
    "criticalExpirationTime": null,
    "expirationStatus": 2,
    "remainingTimeSinceLastPause": null
    },
  "fieldsGroups": [],
  "sourceUrl": null,
  "sourceRuleUrl": null,
  "siemAlertId": null,
  "relatedCases": [],
  "lastSourceUpdateUnixTimeInMs": null,
  "caseId": 24879,
  "nestingDepth": 0
  }],
"isOverflowCase": false,
"isManualCase": false,
"slaExpirationUnixTime": null,
"slaCriticalExpirationUnixTime": null,
"stageSlaExpirationUnixTimeInMs": null,
"stageSlaCriticalExpirationUnixTimeInMs": null,
"canOpenIncident": false,
"sla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null
  },
"stageSla": {
  "slaExpirationTime": null,
  "criticalExpirationTime": null,
  "expirationStatus": 2,
  "remainingTimeSinceLastPause": null},
  "relatedAlertTicketId": null,
  "relatedAlertCards": []
  }

Messaggi di output

L'azione Recupera dettagli richiesta può restituire i seguenti messaggi di output:

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni dettagli richiesta:

Recupera valore contesto connettore

Utilizza l'azione Ottieni valore contesto connettore per recuperare un valore da una chiave specificata nel database Google SecOps per un contesto del connettore.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Ottieni valore contesto connettore richiede i seguenti parametri:

Output dell'azione

L'azione Ottieni valore contesto connettore fornisce i seguenti output:

Tabella Bacheca casi

L'azione Ottieni valore contesto connettore può generare la seguente tabella:

Nome tabella: Connector

Colonne della tabella:

• Identificatore connettore
• Key (Chiave)
• Valore

Messaggi di output

L'azione Ottieni valore contesto connettore può restituire i seguenti messaggi di output:

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni valore contesto connettore:

Recupera valori campo personalizzato

Utilizza l'azione Ottieni valori dei campi personalizzati per recuperare i valori attuali di un campo personalizzato in base all'ambito specificato.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Recupera valori dei campi personalizzati richiede i seguenti parametri:

Output dell'azione

L'azione Ottieni valori dei campi personalizzati fornisce i seguenti output:

Risultato JSON

Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni valori dei campi personalizzati:

[{
   "Case": {
       "Case Custom Field Name 1": "Updated Custom Field Value",
       "Case Custom Field Name 2": "Updated Custom Field Value"
   },
   "Alert": {
       "Alert Custom Field Name 1": "Updated Custom Field Value",
       "Alert Custom Field Name 2": "Updated Custom Field Value"
   }
}]

Messaggi di output

L'azione Ottieni valori dei campi personalizzati può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni valori dei campi personalizzati:

Get Scope Context Value

Utilizza l'azione Ottieni valore contesto ambito per recuperare un valore dal database Google SecOps archiviato in una chiave e un contesto specificati.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Ottieni valore contesto ambito richiede i seguenti parametri:

Output dell'azione

L'azione Ottieni valore contesto ambito fornisce i seguenti output:

Tabella Bacheca casi

L'azione Ottieni valore contesto ambito può generare la seguente tabella:

Nome tabella: SCOPE

Colonne della tabella:

• Key (Chiave)
• Valore

Messaggi di output

L'azione Ottieni valore contesto ambito può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni valore contesto ambito:

Get Similar Cases

Utilizza l'azione Recupera casi simili per cercare casi simili e restituire i relativi ID.

L'azione applica l'operatore logico AND ai parametri Rule Generator, Port, Category Outcome, Entity Identifier, Include Open Cases e Include Closed Cases per filtrare i casi che corrispondono a tutti i criteri specificati.

Questa azione viene eseguita su tutte le entità Google SecOps.

Input azione

L'azione Recupera casi simili richiede i seguenti parametri:

Output dell'azione

L'azione Recupera casi simili fornisce i seguenti output:

Risultato JSON

L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Get Similar Cases:

{
  "results": [{
    "id": 23874, 
    "name": "Malware", 
    "tags": ["hi", "Simulated Case"], 
    "start time": "2024-09-25 05:43:41.999000+00:00", 
    "start time unix": 1727243021999, 
    "last modified": "2025-06-19 13:24:01.062000+00:00", 
    "priority": "Informative", 
    "assigned user": "@Tier1", 
    "matching_criteria": {
        "ruleGenerator": true, 
        "port": true, 
        "outcome": true, 
        "entities": true
      }, 
    "matched_entities": [
      {"entity": "INSTANCE-1", "type": "HOSTNAME", "isSuspicious": false}, 
      {"entity": "10.150.0.3", "type": "ADDRESS", "isSuspicious": false}, {"entity": "172.17.0.1", "type": "ADDRESS", "isSuspicious": false}, {"entity": "VANSHIKAVW_GOOGLE_COM", "type": "USERUNIQNAME", "isSuspicious": false}, 
      {"entity": "CURL", "type": "PROCESS", "isSuspicious": false}, {"entity": "EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}, 
      {"entity": "3395856CE81F2B7382DEE72602F798B642F14140", "type": "FILEHASH", "isSuspicious": false}, 
      {"entity": "34.85.128.214", "type": "ADDRESS", "isSuspicious": false}, 
      {"entity": "/HOME/VANSHIKAVW_GOOGLE_COM/EICAR_TEST_VANSHIKAVW-TEST-NEW", "type": "FILENAME", "isSuspicious": false}
      ], 
      "status": "Open"}], 
      "stats": 
      {"Malicious": 0.0, "Is Important": 0.0, "Is Incident": 0.0, "Status Open": 100.0}, 
      "platform_url": "https://soarapitest.backstory.chronicle.security/"
}

Messaggi di output

L'azione Recupera richieste simili può restituire i seguenti messaggi di output:

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Recupera casi simili:

Istruzione

Utilizza l'azione Istruzione per fornire istruzioni a un analista direttamente nella richiesta.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Istruzione richiede i seguenti parametri:

Output dell'azione

L'azione Istruzione fornisce i seguenti output:

Messaggi di output

L'azione Aggiungi voto all'entità può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Istruzione:

È nell'elenco personalizzato

Utilizza l'azione È nell'elenco personalizzato per verificare se un'entità esiste all'interno di un elenco personalizzato designato.

Questa azione viene eseguita su tutte le entità Google SecOps.

Input azione

L'azione È nell'elenco personalizzato richiede i seguenti parametri:

Output dell'azione

L'azione È nell'elenco personalizzato fornisce i seguenti output:

Messaggi di output

L'azione È nell'elenco personalizzato può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione È nell'elenco personalizzato:

Contrassegna come importante

Utilizza l'azione Contrassegna come importante per contrassegnare la richiesta come importante.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

Nessuno.

Output dell'azione

L'azione Contrassegna come importante fornisce i seguenti output:

Messaggi di output

L'azione Segna come importante può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Contrassegna come importante:

URL Open Web

Utilizza l'azione Apri URL web per generare un link del browser.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Apri URL web richiede i seguenti parametri:

Output dell'azione

L'azione Apri URL web fornisce i seguenti output:

Messaggi di output

L'azione Apri URL web può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Apri URL web:

Metti in pausa SLA avviso

Utilizza l'azione Metti in pausa SLA avviso per mettere in pausa il timer dell'accordo sul livello del servizio (SLA) per l'avviso.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Metti in pausa SLA avviso richiede i seguenti parametri:

Output dell'azione

L'azione Metti in pausa SLA avviso fornisce i seguenti output:

Messaggi di output

L'azione Metti in pausa SLA avviso può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Metti in pausa l'avviso SLA:

Metti in pausa SLA della richiesta

Utilizza l'azione Metti in pausa SLA della richiesta per mettere in pausa il timer dell'accordo sul livello del servizio (SLA) per la richiesta.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Metti in pausa SLA della richiesta richiede i seguenti parametri:

Output dell'azione

L'azione Metti in pausa SLA della richiesta fornisce i seguenti output:

Messaggi di output

L'azione Metti in pausa SLA della richiesta può restituire i seguenti messaggi di output:

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando si utilizza l'azione Sospendi SLA richiesta:

Orario di avviso consentito

Utilizza l'azione Orario di avviso consentito per verificare se l'ora di inizio dell'avviso rispetta le condizioni temporali definite dall'utente.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Orario avviso consentito richiede i seguenti parametri:

Output dell'azione

L'azione Orario avviso consentito fornisce i seguenti output:

Messaggi di output

L'azione Orario di avviso consentito può restituire i seguenti messaggi di output:

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Permitted Alert Time:

Dindin

Utilizza l'azione Ping per testare la connettività a Siemplify.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

Nessuno.

Output dell'azione

L'azione Ping fornisce i seguenti output:

Messaggi di output

L'azione Ping può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:

Crea incidente

Utilizza l'azione Crea incidente per contrassegnare un caso di vero positivo come Critical e creare l'incidente relativo al caso.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Crea incidente richiede i seguenti parametri:

Output dell'azione

L'azione Crea incidente fornisce i seguenti output:

Messaggi di output

L'azione Crea incidente può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Crea incidente:

Rimuovi tag

Utilizza l'azione Rimuovi tag per rimuovere i tag dalla richiesta.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Rimuovi tag richiede i seguenti parametri:

Output dell'azione

L'azione Rimuovi tag fornisce i seguenti output:

Messaggi di output

L'azione Rimuovi tag può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Rimuovi tag:

Rimuovi dall'elenco personalizzato

Utilizza l'azione Rimuovi da elenco personalizzato per rimuovere le entità associate a un avviso da una categoria di elenco personalizzato.

Questa azione viene eseguita su tutte le entità Google SecOps.

Input azione

L'azione Rimuovi dall'elenco personalizzato richiede i seguenti parametri:

Output dell'azione

L'azione Rimuovi dall'elenco personalizzato fornisce i seguenti output:

Messaggi di output

L'azione Rimuovi dall'elenco personalizzato può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Rimuovi da elenco personalizzato:

Riprendi SLA avviso

Utilizza l'azione Riprendi SLA avviso per riattivare e riavviare il timer del contratto di livello di servizio (SLA) per l'avviso.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

Nessuno.

Output dell'azione

L'azione Riprendi SLA avviso fornisce i seguenti output:

Messaggi di output

L'azione Riprendi SLA avviso può restituire i seguenti messaggi di output:

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Riprendi SLA avviso:

Riprendi SLA della richiesta

Utilizza l'azione Riprendi SLA richiesta per riattivare e riavviare il timer del Service Level Agreement (SLA) per la richiesta.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

Nessuno.

Output dell'azione

L'azione Riprendi SLA della richiesta fornisce i seguenti output:

Messaggi di output

L'azione Riprendi SLA della richiesta può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Riprendi SLA richiesta:

Imposta SLA avviso

Utilizza l'azione Imposta SLA avviso per impostare il timer SLA per l'avviso.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Imposta SLA avviso richiede i seguenti parametri:

Output dell'azione

L'azione Imposta SLA avviso fornisce i seguenti output:

Messaggi di output

L'azione Imposta SLA avviso può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Imposta SLA avviso:

Imposta SLA richiesta

Utilizza l'azione Imposta SLA richiesta per impostare l'SLA per la richiesta.

Questa azione ha la priorità più alta e sostituisce il contratto di servizio esistente definito per la richiesta specifica.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Imposta SLA richiesta richiede i seguenti parametri:

Output dell'azione

L'azione Imposta SLA richiesta fornisce i seguenti output:

Messaggi di output

L'azione Cerca problemi ASM può restituire i seguenti messaggi di output:

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Imposta SLA richiesta:

Imposta campi personalizzati

Utilizza l'azione Imposta campi personalizzati per impostare i valori dei campi personalizzati.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Imposta campi personalizzati richiede i seguenti parametri:

    {
      "Custom Field Name 1":"Custom Field Value 1",
      "Custom Field Name 2":"Custom Field Value 2"
    }

Output dell'azione

L'azione Imposta campi personalizzati fornisce i seguenti output:

Risultato JSON

Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Imposta campi personalizzati:

{
  "Custom Field Name": "Updated Custom Field Value",
  "Custom Field Name": "Updated Custom Field Value",
}

Messaggi di output

L'azione Imposta campi personalizzati può restituire i seguenti messaggi di output:

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Imposta campi personalizzati:

Imposta punteggio di rischio

Utilizza l'azione Imposta punteggio di rischio per aggiornare il punteggio di rischio della richiesta.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Imposta punteggio di rischio richiede i seguenti parametri:

Output dell'azione

L'azione Imposta punteggio di rischio fornisce i seguenti output:

Messaggi di output

L'azione Imposta punteggio di rischio può restituire i seguenti messaggi di output:

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Imposta punteggio di rischio:

Imposta valore contesto ambito

Utilizza l'azione Imposta valore contesto ambito per impostare un valore per una chiave archiviata nel database di Google SecOps.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Imposta valore contesto ambito richiede i seguenti parametri:

Output dell'azione

L'azione Imposta valore contesto ambito fornisce i seguenti output:

Messaggi di output

L'azione Imposta valore contesto ambito può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore per l'output del risultato dello script quando utilizzi l'azione Imposta valore contesto ambito:

Aggiorna la descrizione della richiesta

Utilizza l'azione Aggiorna descrizione richiesta per aggiornare la descrizione della richiesta.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Aggiorna descrizione richiesta richiede i seguenti parametri:

Output dell'azione

L'azione Aggiorna descrizione richiesta fornisce i seguenti output:

Messaggi di output

L'azione Aggiorna descrizione richiesta può restituire i seguenti messaggi di output:

Risultato dello script

La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiorna descrizione richiesta:

Wait For Custom Fields

Utilizza l'azione Attendi campi personalizzati per attendere che i valori dei campi personalizzati continuino l'esecuzione del playbook.

Questa azione non viene eseguita sulle entità Google SecOps.

Input azione

L'azione Attendi campi personalizzati richiede i seguenti parametri:

{
  "Custom Field Name 1": "Custom Field Value 1",
  "Custom Field Name 2": "Custom Field Value 2"
}
    

Output dell'azione

L'azione Attendi campi personalizzati fornisce i seguenti output:

Risultato JSON

L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Attendi campi personalizzati:

{
"Custom Field Name": "Updated Custom Field Value",
"Custom Field Name": "Updated Custom Field Value",
}

Messaggi di output

L'azione Attendi campi personalizzati può restituire i seguenti messaggi di output:

Risultato dello script

La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Attendi campi personalizzati:

Job

Per saperne di più sui job, vedi Configurare un nuovo job e Pianificazione avanzata.

Siemplify - Actions Monitor

Utilizza il job Siemplify - Actions Monitor per ricevere notifiche relative alle azioni che non sono andate a buon fine almeno tre volte separate nelle ultime tre ore.

Parametri del job

Il job Siemplify - Actions Monitor richiede i seguenti parametri:

Siemplify - Cases Collector DB

Utilizza il job Siemplify - Cases Collector DB per recuperare ed elaborare i casi di sicurezza da un publisher designato.

Parametri del job

Il job Siemplify - Cases Collector DB richiede i seguenti parametri:

Siemplify - Logs Collector

Utilizza il job Siemplify - Logs Collector per recuperare ed elaborare i log di un publisher specificato.

Input del job

Il job Siemplify - Logs Collector richiede i seguenti parametri:

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.